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_S_icherheit:sbe2 0Qenes Automatisierunafihnssvstem 

Die Erfindung betrifft ein sicherheitsbezogenes 

Automat isierungsbudsystem nach dem Oberbegriff des Anspruchs 

1 und ein Verfahren zum Betrieb eines derartigen Systems. 

Steuer- und Datenubertragungsanlagen haben aufgrund des damit 
moglichen hohen Automat isierungsgrades eine herausragende 
Stellung nicht nur in der industriellen Fertigung erlangt. 
Derartige Automat isierungssysteme weisen im allgemeinen 
zumindest Abschnitte oder Komponenten auf, an welche erhohte 
Anforderungen im Hinblick auf die Sicherheit zu stellen sind. 
Beispielsweise muS sichergestellt sein, daS bestimmte 
Maschinen innerhalb vorgegebener Betriebsparameter betrieben 
warden oder es muS verhindert werden, daS eine Maschine 
lauft, obwohl sich eine Person in deren Arbeitsbereich 
aufhalt. In dieser Hinsicht darf beispielsweise eine 
Drehmaschine nicht eine vorgegebene Drehzahl uberschreiten 
Oder sich nicht beim Betrieb eines Roboters eine Person im 
Aktionsradius des Roboters aufhalten. Weiterhin muS beim 
Betrieb eines Automatisierungssystems sichergestellt sein, 
daS bei einem Ausfall einer Komponente des Systems die Anlage 
nicht in einen undef inierten und damit nicht vorhersagbaren 
Zustand gerat . 

Ein Ansatz fur diese Problematik nach dem Stand der Technik 
besteht darin, insbesondere die sicherheitsrelevanten 



Komponenten des Systems mehrkanalig, d.h. redundant 
aufzubauen. Beispielsweise kann in einem 
Automatisierungsbussystem vorgesehen sein, 

Sicherheitsbuskomponenten, d.h. z.B. Busteilnehmer, die einer 
sicherheitsrelevanten Maschine zugeordnet sind, doppelt 
auszufuhren. Gleichzeitig kann auch die zentrale Steuerung 
und der Bus mehrkanalig aufgebaut sein oder gar eine von der 
ProzeSsteuerung getrennte spezielle und unter Umstanden 
redundant aufgebaut e Sicherheitssteuerung zur Steuerung der 
sicherheitsrelevanten Komponenten vorgesehen sein. Diese 
Sicherheitssteuerung fuhrc im wesentlichen die Verknupf ungen 
der sicherheitsbezogenen Eingangsinf ormationen durch und 
ubermittelt daraufhin, beispielsweise uber einen 
Automatisierungsbus, sicherheitsbezogene Verknupf ungsdat en an 
Ausgangskomponenten. Die Ausgangskomponenten ihrerseits 
bearbeiten die empfangenen SicherheitsmaSnahmen und geben 
nach positiver Prufung diese an die Peripherie aus . Daruber 
hinaus schalten sie ihre Ausgange in einen sicheren Zustand, 
wenn sie einen Fehler feststellen oder innerhalb einer 
vorgegebenen Zeitdauer keine gultigen Daten mehr empfangen 
haben . 



Der Einsatz von zwei Steuerungen im System, d.h. eine 
ProzeiSsteuerung sowie der beschriebenen Sicherheitssteuerung 
hat jedoch einige Nachteile zur Folge. Gerade aufgrund 
steigender Anf orderungen an die Reaktioiiszeit von 
Automat isierungssystemen muS ein derartiges System haufig auf 
Sicherheitsinseln aufgeteilt werden, Weiterhin treten 
insbesondere bei mehrkanaligen Steuerungssyscemen 
Synchronisationsprobleme auf, welche trotz prinzipiell 
intakter Anlage zu Ausfallen oder gar Zerstorungen von 
Maschinenteilen fuhren konnen. Weiterhin zieht der 
mehrkanalige Aufbau durch den vergrofierten Hardware -Auf wand 



eine Erhohung der System- als auch der Wartungskosten nach 
sich. 

Aus DE 198 15 150 Al ist ein System bekannt, welches eine an 
den Bus angeschlossene Auswerteeinheit umfaSt, die 
fortlaufend die uber das Bussystem ubertragenen Signale 
abhort und nur bei fehlerfreier Identif izierung von uber das 
Bussystem ubertragenen Kodierungen ein Arbeitsgerat in 
Betrieb setzt. Hierzu werden die durch den Busteilnehmer an 
den Master gesendeten Eingangsdaten ausgewertet und im 
Ansprechen auf die Auswertung das Arbeitsgerat eingeschaltec 
Oder ausgeschaltet belassen. 

Ein derartiger Ansatz ist im Vergleich zur erstbeschriebenen 
Anlage nicht so kostenintensiv, er ist jedoch sehr unflexibel 
im Hinblick auf eine Erweiterung des Systems oder eine 
Anpassung der Anlage an andere Buskomponenten. Weiterhin ist 
die Auswerteeinheit allein fur das Auslosen einer 
sicherheitsgerichteten Funktiion zustandig, so daS zur 
Einhaltung hoher Sicherheitsanforderungen die Auswerteeinheit 
zwingend redundant ausgefuhrt werden muS. 

Aufgabe der Erfindung ist es somit, ein sicherheitsbezogenes 
Automatisierungsbussystem bereit zustellen, welches moglichst 
mit einer geringen Hardware -Redundanz auskommt und flexibel 
an die jeweiligen Anf ordernisse angepaSt werden kann. • 

Die Erfindung lost dieses Problem mit einem 
Automatisierungsbussystem mit den Merkmalen des Anspruchs 1 
sowie ein Verfahren zum Betrieb einer derartigen Steuer- und 
Datenverarbeitungsanlage nach Anspruch 14. Weiterbildungen 
der Erfindung sind in den Unteranspruchen angegeben. 
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ErfindungsgemaB umfaSt das Automatisierungssystem ein 
Bussystem, daran angeschlossene Sensor- und Aktor- 
Busteilnehmer und eine Standardsteuerungseinrichtung, welche 
die ProzeSsteuerung mit der Verarbeitung von prozeiSgebundenen 
E/A-Daten und eine sicherheitsbezogene Steuerung mit der 
Verarbeitung von sicherheitsbezogenen Daten, d.h. der • 
Steuerung von sicherheitsbezogenen Ein- und Ausgangen, 
durchfuhrt. Weiterhin ist ein sogenannter 
Sicherheitsanalysator umfaSt, der mittels einer 
entsprechenden Schnittstelle an den Bus angeschlossen ist und 
den DatenfluS uber den Bus mithort, wobei der Analysator zum 
Ausfahren von sicherheitsbezogenen Funktionen eingerichtet 
ist . Dies betrif f t beispielsweise die Ansteuerung eines 
Schutzes zum Abschalten der Versorgungsspannung von 
Systemkomponenten oder die Ermittlung von Qualitatsdaten. 
Derartige Qualitatsdaten konnen allgemeine Systemparameter, 
z.B. Daten viber das Auftreten von Fehlem in 
Systemkomponenten oder Busiibertragungsfehlem umfassen. Das 
Automatisierungssystem zeichnet sich dadurch aus, daS die 
Standardsteuereinrichtung zumindest einen 

sicherheitsbezogenen Ausgang Qber den Bus ansteuert, sie kann 
jedoch auch selbst einen derartigen sicherheitsbezogenen 
Ausgang aufweisen. Erf indungsgemSS bezeichnet ein 
sicherheitsbezogener Ausgang eine Senke einer 
Sicherheitsinformation, die in Abhangigkeit der Information 
sicherheitsgerichtete Ablaufe startet, beispielsweise eine 
Maschine herunterf ahrt oder gar durch Unterbrechen des 
Versorgungsstromes eine Maschine abachaltet. Der 
Sicherheitsanalysator ist im erf indungsgemafien 
Automatisierungssystem zur Uberpnifung und/oder zum 
Verarbeiten von sicherheitsbezogenen Daten, insbesondere 
sicherheitsbezogenen Verknupfungsdaten im Busdatenstrom 
ausgebildet. Dabei sind sicherheitsbezogene Verknupfungsdaten 



beispielsweise Dacen, welche die sicherheicsbezogene 
Sceuerung nach der Verarbeitung von sicherheitsbezogenen 
Dacen an sicherheitsbezogene Ausgange sendet. 

Damit wird ein System bereitgestellt, welches extrem flexibel 
auf die jeweiligen Anforderungen an das 
Automatisierungssystem eingestellt werden kann. 
Beispielsweise kann jeder Sicherheitsbuskomponente ein 
derartiger Sicherheitsanalysator zugeordnet oder auch ein 
Sicherheitsanalysator in die Sicherheitskomponente, 
beispielsweise einen Sicherheitsbusteilnehmer selbst 
integriert werden, es ist jedoch auch moglich, daS ein 
einzelner Sicherheitsanalysator die Verarbeitung 
sicherheitsbezogener Daten oder die Oberprufung der 
sicherheitsbezogenen Verknupfungsdaten im Busdatenstrom fur 
mehrere Sicherheitsbuskomponenten oder gar alle 
Sicherheitsbuskomponenten des Systems vornimmt . 

Das Prinzip der Erfindung beiruht auf der Erkenntnis des 
Erfinders, daS die in heutigen Automat isierungsanlagen 
eingesetzte Elektronik selbst nur selten ausfallt. Die 
Integration der aktuellen digitalen Sicherheitstechnik in die 
Automatisierungstechnik in Form von Sicherheitssteuerungen 
Oder Sicherheitsbussystemen nach dem Stand der Technik hat 
hauf ig den Nachteil einer abnehmenden Verfugbarkeit des 
Systems. Um diese Ausf allzeiten zu reduzieren, kommen deshalb 
neben den genannten Sicherheitskomponenten auch 
Verfiigbarkeitsstrukturen zum Einsatz, die ihrerseits aber zu 
einer nicht unerheblichen Zunahme der Kosten durch den 
erhohten Hardware -Auf wand fuhren. 

Die Erfindung setzt deshalb auf der Zuverlassigkeit heutiger 
Automatisierungssysteme auf und integriert eine reine 
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Notfall-Elektronik bzw. -Software, die erst dann aktiv in den 
Betrieb der Anlage eingreift, wenn die Standardtechnik 
fehlerhaft arbeitet. Die Standardsteueningseinrichtung 
verarbeitet deshalb auch sicherheitsbezogene Daten, d.h. sie 
steuert sicherheitsrelevante Ein- und Ausgange. Insbesondere 
die erzeugten sicherheitsbezogenen Verknupf ungsdaten im 
Busdatenstrom werden jedoch vom Sicherheitsanalysator 
abgehort und uberpruft. Dies hat fur den Anwender den 
Vorteil, daS eine strikte Trennung der Sicherheitstechnik und 
der Standardtechnik bei der Programmierung nicht mehr 
unbedingt notwendig ist. Das erf indungsgemaSe 
Automatisierungssystem ist auf alle Systeme mit einem Bus, 
insbesondere auf Bussysteme mit Master-Slave- 
Buszugriffsverfahren anwendbar. Unabhangig von der Anordnung 
des Sicherheitsanalysators im Fernbus-Abschnitt kann dieser 
bei einem beispielhaf ten seriellen Bussystem nach EN 50 254 
alle IN-Daten auf dem Bus lesen, der Umfang der mithorbaren 
OUT-Daten hangt jedoch von der Anordnung des 
Sicherheitsanalysators im System ab. Die Bezeichnung 
Busdatenstrom bezeichnet dabei erf indungsgemaS alle uber dem 
Bus ubermittelte Informationen, insbesondere auch die in 
einem Summenrahmen uber den Bus transport ierten Daten. 

Urn den einschlagigen Sicherheitsanforderxingen zu genugen, 
kann der Sicherheitsanalysator im Ansprechen auf die 
Uberprufung und/oder die Verarbeitung von 
sicherheitsbezogenen Daten, insbesondere von 
Verknupfungsdaten im Busdatenstrom, die notwendigen 
sicherheitsbezogenen Funktionen auslosen. Hierbei kann der 
Sicherheitsanalysator sowohl auf OUT-Daten, d,h. 
Verknupfungsdaten der Standardsteuereinrichtung reagieren als 
auch auf IN-Daten, d.h. Informationen im Busdatenstrom, 
welche von einzelnen E/A-Busteilnehmern an die 



Standardsteuereinrichtung gesendet wurden. 

Urn einen Fehler in sicherheitsbezogenen Verknupfungsdaten, 
welche uber den Bus transportiert werden, zu erkennen, kann 
der Sicherheitsanalysator eine frei programmierbare 
Logikeinrichtung aufweisen, in welcher die abgehorten Daten, 
insbesondere die abgehorten sicherheitsbezogenen Daten 
verarbeitet werden. Auf diese Weise kann der 
Sicherheitsanalysator durch das Nachbilden der 
sicherheitsbezogenen Verknupfungen der Standardsteuerung 
deren als OUT-Daten Ober den Bus gesendeten Verknupfungsdaten 
uberprufen und im Ansprechen auf die Uberprufung oder den 
Vergleich notwendige sicherheitsbezogene Funktionen 
ausfuhren. Urn die Anlage beispielsweise in einen sicheren 
Zustand zu bringen, kann der Sicherheitsanalysator einen 
Ausgang umfassen, uber welchen eine Baugruppe, insbesondere 
ein Busteilnehmer des Automat isierungsbussys terns ein- oder 
ausschaltbar ist. Die Abschaltung kann durch Trennen von der 
Spannungsversorgung realisiert werden. Urn zusammenhangende 
bzw. voneinander abhangende Busteilnehmer in Gesamtheit in 
einen sicheren Zustand zu bringen, kann der 

Sicherheitsanalysator zur Abschaltung eines Busstichs, einer 
mehrere, einander zugeordnete Busteilnehmer umfassende 
Sicherheitsinsel oder zum Abschalten von Komponenten nach 
einer im Analysator abgelegten Verrieglungslogik eingerichtet 
sein. Es ist jedoch auch moglich, dafi uber den 
sicherheitsbezogenen Ausgang des Sicherheitsanalysators die 
Gesamtanlage von der Spannungsversorgung abgetrennt wird. 

Der Sicherheitsanalysator kann sicherheitsbezogene 
Informationen neben dem Abhoren des Busses weiterhin uber 
einen direkten Eingang erfassen, mittels welchem der 
Sicherheitsanalysator mit einer sicherheitsbezogenen 
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Einrichtung des Automat is ierungsbussys terns verbunden ist. 
Diese Einrichtung kann dabei, muS aber nicht an den Bus 
angeschlossen sein. Beispielsweise umfafit die so zugangliche 
sicherheitsbezogene Information die Momentandrehzahl der 
schon erwahnten Drehmaschine, wobei der Analysator im Falle 
des Uberschreitens einer vorbestimmten Grenzdrehzahl die 
Maschine mittels ihres Ausgangs abschaltet. 

Urn eine Trennung der sicherheitsbezogenen Informationen und 
der ProzeSdaten im System und insbesondere in der Steuerang 
durchzufuhren, kann das Bussystem uber eine Anschaltbaugruppe 
mit einem Host verbunden sein, wobei die prozeSbezogene 
Steuerung der Standardsteuereinrichtung im Host und die 
sicherheitsbezogene Steuerung der Standardsteuereinrichtung 
in der Anschaltbaugruppe angeordnet ist. Vorteilhaf terweise 
lafit sich die sicherheitsbezogene Steuerung beispielsweise in 
Fom von Sof tware-Funktionsbausteinen, welche die notwendigen 
Verknupfungen der sicherheitsrelevanten E/A- Informationen 
vornehmen , realisieren. 

Die sicherheitsbezogene Steuerung kann somit in gleicher 
Weise implementiert werden wie die ProzeSsteuerung . Bei der 
Codierung der sicherheitsbezogenen Verknupfungen ist der 
Programmierer ebenso wie bei der ProzeSsteuerung von der 
verwendeten Programmiersprache unabhangig. 

Die Verknupfungen auf dem Sicherheitsanalysator haben in etwa 
denselben Umfang wie die Verknupfungen auf dem Host 
beziehungsweise auf der Anschaltbaugruppe und konnen entweder 
in derselben oder aber in einer anderen Programmiersprache 
erstellt werden. Der Sicherheitsanalysator fuhrc zusatzlich 
einen Vergleich der Verknupfungen zwischen den Ergebnissen 
des Host -Systems beziehungsweise der Anschaltbaugruppe und 
seinen eigenen durch und startet beispielsweise beim 
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Auftreten von Ungleichheit sicherheitsgerichtete Funkt 



lonen . 
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Das Ahnahmeverfahren eines solchen Systems kann erheblich 
einfacher erfolgen, als es bei den Systemen nach dem Stand 
der Technik der Fall ist. Die Anlage kann mit alien 
Sicherheitsverriegelungen in Betrieb genommen werden, ohne 
die Sicherheitstechnik aktiv geschaltet zu haben. Die 
notwendigen Verknupfungen befinden sich dabei im Host -System 
Oder in der Anschaltbaugruppe . Die Funktionsfahigkeit der 
Anlage kann zunachst im Black-Box-Test untersucht werden. In 
einem zweiten Schritt wird dann die Sicherheitstechnik in 
Form der beziehungsweise des Sicherheitsanalysators (en) 
zugeschaltet. Da dort nur die Sicherheitsverknupfungen, nicht 
aber die ProzeiSdatenverknupfungen vorhanden sind, lafit sich 
15 nun der White-Box-Test schnell und ubersichtlich durchfuhren, 
wodurch sich die Abnahmezeiten erheblich reduzieren lassen. 
Da die sicherheitsbezogenen Verknupfungsalgorithraen auch auf 
dem Host -System beziehungsweise der Anschaltbaugruppe 
ablaufen, ist ein Vergleich mit denen des Analysators schnell 
20 moglich. 

Wird der Bus als serieller Ringbus, beispielsweise als Bus 
gemaS EN 50254 ausgebildet, und ist ein Sicherheitsanalysator 
im Top-Level-Fernbus-Abschnitt des Automatisierungssystems 
25 angeordnet, so hat dieser Zugriff auf alle IN-Daten des 

Systems, da in dem bezeichneten System die Daten in einer 
hin- und in einer nickfuhrenden Ubertragungsleitung durch 
jeden Busteilnehmer gefuhrt werden. Damit ist der Analysator 
in der Lage, ein auf die IN-Daten und die ihm zuganglichen 
Out -Daten beschranktes ProzeSabbild aufzubauen. 
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Bei Bussystemen mit Linientopologie kann der 
Sicherheitsanalysator in der Regel an jedem Ort im Bussystem 
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alle Information mitlesen und damit ein vollstandiges 
ProzeSabbild anlegen. 

In einer vorteilhaf ten Ausfuhrungsform der Erfindung ist der 
Sicherheitsanalysator in einem seriellen Ringbussystem direkc 
nach dem Host oder der Anschaltbaugruppe angeordnet, so daS 
dieser ein vollstandiges ProzeSabbild aufbauen kann. Scmit 
ist der Sicherheitsanalysator in der Lage jederzeit und in 
vollem Umfang sicherheitsgerichtete Daten, insbesondere 
sicherheitsgerichtete Verknupfungsdaten auf ihre Richtigkeit 
zu uberprufen beziehungsweise zu verarbeiten, da in diesem 
Fall der Analysator Zugriff auf alle In- und Out-Daten, d.h. 
alle Eingangs- und Ausgangsdaten besitzt. 



Ist der Sicherheitsanalysator in der Anschaltbaugruppe des 
beschriebenen seriellen Ringbussystems angeordnet, so kann 
die Funktion des Sicherheitsanalysators mittels einer 
Softwarekomponente in der Anschaltbaugruppe ausgefuhrt sein. 
Vorteilhafterweise weist die Anschaltbaugruppe hierbei einen 
sicherheitsbezogenen Ausgang auf, urn entsprechende 
sicherheitsgerichtete Funktionen, beispielsweise das 
Abschalten einer Versorgungsspannung mittels eines Schutzes 
auszufihren. 



Das Ausfuhren derartiger sicherheitsgerichteter Funktionen 
kann jedoch in einer besonderen vorteilhaf ten Ausfuhrungsform 
der Erfindung durch direkte Datenmanipulation des 
Busdatenstroms durch den Sicherheitsanalysatord realisiert 
werden. Das Manipulieren umfaiSt das Umschreiben, das 
Erganzen, das Einfugen sowie das Substituieren sowohl von 
OUT-Daten als auch von IN-Daten des Busdatenstroms. Bei 
Kenntnis des Prozefiabbildes kann somit der 

Sicherheitsanalysator in weitreichender Form auf den Betrieb 
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des erfindungsgemafien Automat isierungssystems EinfluB nehmen 
und damit sicherstellen, dag die Anlage zu jedem Zeicpunkt in 
definierten Zustanden gehalten werden kann. Das Prinzip der 
Datenmanipulation kann weiterhin auch dazu benutzt werden, urn 
einen in einem im Busstich angeordneten Sicherheitsanalysator 
im allgemeinen nicht zugangliche Busdatenstromanteile 
verfugbar zu machen, indem ein im Fernbus angeordneter 
Sicherheitsanalysator die betreffenden Daten in Daten 
wandelt, welche in den betreffenden Busstich transportiert 
werden. Auf diese Weise ist eine direkce Datenverbindung 
zwischen Sicherheitsanalysatoren realisiert. 



Die Datenmanipulation durch einen Sicherheitsanalysator kann 
in einem nach dem Master-Slave-Prinzip arbeitenden Bussystem 
15 auch ver'vendet werden, um Daten zwischen zumindest zwei 
Slaves, insbesondere zwischen einzelnen Busteilnehmem, 
mittels einer Punkt-zu-Punkt-Verbindung uber wenigstens einen 
Sicherheitsanalysator zu ubertragen, wobei der 
Sicherheitsanalysator Daten im Busdatenstrom umkopiert. Der 
Master ist bei dieser Daten-Verbindung je nach Lage der 
beiden Slaves im Bussystem unter Umstanden nicht eingebunden, 
so daS der Datentransport vollig unabhangig vom Busmaster 
realisiert wird. Eine derartige Datenverbindung zwischen zwei 
Slaves ist im ubrigen auch durch die Ausfuhrxing einer 
Kopierfunktion durch den Busmaster moglich. Wahrend bei einem 
Sicherheitsanalysator als Mittler, wie vorstehend 
beschrieben, zumindest in bestimmten Fallen der Busmaster 
nicht in den Datentransport eingebunden ist, ist der 
Busmaster fur die zweite Form einer Punkt-zu-Punkt-Verbindung 
zwischen zwei Slaves zwingend notwendig. 

Das Austauschen von Daten zwischen zumindest zwei Slaves, 
beispielsweise zwischen einzelnen Busteilnehmem, mittels 
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einer Punkt-zu-Punkt -Verbindung karm weiterhin auch durch die 
Einbindung des Masters oder der Steuerung in die Obertragung 
realisiert werden, wobei in diesem Fall der Master bzw. die 
Steuerving die Daten im Busdatenstrom umkopiert. 

Zur Erhdhung der Datensicherheit konnen die 

sicherheitsbezogenen Daten in einem Sicherheitsprotokoll uber 
den Bus ubertragen werden. Beispielsweise kann das 
Sicherheitsprotokoll zusatzlich zu dem Sicherheitsdatum das 
negierte Sicherheitsdatum, eine laufende Nummer, eine Adresse 
und/oder eine Datensicherungsinformation (CRC) umfassen. 

Die Flexibilitat des Systems zeigt sich insbesondere in einer 
weiteren vorteilhaf ten Ausfuhrungsform der Erfindung, bei 
welcher das erf indungsgemaSe Automatisierungssystem mehrere 
Sicherheitsanalysatoren umfaSt, wobei in einem 
Sicherheitsanalysator ablaufende sicherheitsbezogene 
Verknupfungen redundant in wenigstens einem weiteren 
Sicherheitsanalysator durchgefuhrt werden und durch beide 
Sicherheitsanalysatoren zumindest teilweise die gleichen 
Sicherheitsfunktionen ausgefuhrt und ausgelost werden. Dabei 
konnen die betreffenden Sicherheitsanalysatoren zusatzlich zu 
den redundanten. d.h. auf beiden Analysatoren ablaufenden 
Verknupfungen auch unterschiedliche sicherheitsbezogenen 
25 Verknupfungen ausfuhren. 

Die Erfindung wird im folgenden durch das Beschreiben einiger 
Ausfuhrungsformen unter Zugrundelegen der Zeichnungen 
erlautert, wobei 
30 Fig. 1 in einer Prinzipdarstellung eine erste 

Ausfuhrungsform des erf indungsgemafien 

Automatisierungssystems mit zwei 

Sicherheitsanalysatoren im Fernbus-Abschnitt zeigt, 
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Fig. 2 in einer Prinzipskizze eine weitere Ausfuhrungsform 
der Erfindung darstellc, wobei ein 
Sicherheitsanalysator direkt hinter der 
Anschaltbaugruppe angeordnet ist. 

Fig. 3 das erf indungsgemaSe Automat isierungssystem in 
einer Prinzipskizze mit einem in die 
Anschaltbaugruppe integrierten 
Sicherheitsanalysator sowie einem zweiten 
Sicherheitsanalysator am Kopf eines Busstichs 
zeigt , 

Fig. 4 ein erf indungsgemaSes Automatisierungssystem mit 

zwei Sicherheitsanalysatoren darstellt, wobei deren 

Ausgange miteinander verbunden sind, 
Fig. 5 in einer prinzipiellen Blockbilddarstellung einen 

Sicherheitsanalysator mit verschiedenen Ein- und 

Ausgangen zeigt und 
Fig, 6a und 6b in einer Prinzipdarstellung die 

Datenmanipulation des Busdatenstroms durch den 

Sicherheitsanalysator zeigt. 



In Fig. l ist in einer Prinzipdarstellung das 
erfindungsgemalSe Automatisieningssystem 1, d.h. eine Steuer- 
und Datenubertragimgsanlage gemaS der Erfindung dargestellt. 
Es umfaiSt einen Bus 2, an welchen E/A-Busteilnehmer mit 
zugeordneten Sensoren und Aktoren angeschlossen sind. Eine 
Standardsteuerungseinrichtung 4 fuhrt uber den Bus die 
ProzeiSsteuerung mit der Verarbeitung von prozeSgebundenen 
E/A-Daten durch. Hierzu empfangt die Steuerung 4 Daten von 
den einzelnen Busteilnehmem 31-38, die wiederum selbst von 
der Standardsteuerungseinrichtung Daten empfangen, Weiterhin 
ist die Standardsteuerungseinrichtung mit der Verarbeitung 
von sicherheitsbezogenen Daten bef aSt . In diesem Sinne 
ubernimmt die Standardsteuerungseinrichtung neben den 
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prozeSgebundenen Ein- und Ausgangen auch die Verarbeitung der 
sicherheitsrelevanten Ein- und Ausgange. GemaS der Erfindung 
bezeichnet ein sicherheitsbezogener Eingang eine 
Informationsquelle, wobei die durch die Quelle abgegebene 
Information in irgendeinem Zusammenhang zur Sicherheit des 
erf indungsgemaSen Automatisierungssystems steht . 
Beispielsweise ist der Drehzahl sensor einer Drehmaschine, 
welche uber einen Busteilnehmer 32 an den Bus 2 angeschlossen 
ist, ein derartiger sicherheitsrelevanter Eingang, da die 
Maschine nicht uber eine vorgegebene Grenze drehen darf . Ein 
weiteres Beispiel fur einen sicherheitsbezogenen Eingang in 
der beschriebenen Ausfuhrungsform der Erfindung ist ein 
Photodetektor einer Lichtschranke, mit welcher der 
Arbeitsbereich der Drehmaschine uberwacht wird, Auch in 
diesem Fall besitzt die Standardsteuerungseinrichtung uber 
den Bus Zugriff auf die Information des sicherheitsbezogenen 
Eingangs. Nach der Verarbeitung der sicherheitsbezogenen 
Daten, beispielsweise in Form einer logischen Verknupfunc 
sendet die Steuerungseinrichtung 4 diese sicherheitsbezogenen 
Verknupfungsdaten an sicherheitsbezogene Ausgange. 
Beispielsweise kann die Standardsteuerungseinrichtung einen 
Abschaltbefehl fur die erwahnte Drehmaschine uber den Bus zum 
zugeordneten Busteilnehmer 32 absenden, wenn die 
Hochstdrehzahl liberschritten wurde und damit eine Gefahr 
25 besteht, daJS die Anlage auSer Kontrolle gerat . Auch in diesem 
Fall kommuniziert die sicherheitsbezogene Steuerung in. der 
Standardsteuerungseinrichtung uber den Bus mit dem 
sicherheitsbezogenen Ausgang. 
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Das erf indungsgemaSe Automatisierungssystem umfaSt ferner 
zwei Sicherheitsanalysatoren 5, S\ welche jeweils mittels 
einer Schnittstelle den DatenfluS uber das Bussystem in 
Echtzeit mithoren. Die Sicherheitsanalysatoren sind zum 
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Verknupfen und/oder Verarbeiten von sicherheitsbezogenen 
Daten im Busdatenstrom eingerichcet . Dies bedeutet, dafi sie 
sicherheicsbezogene Verknupfungen der 

Standardsteuerungseinrichtung nachvoU Ziehen konnen, da ihnen 
die uber den Bus transport ierten sicherheitsbezogenen Daten 
zuganglich sind. 

Hierzu weisen die Sicherheitsanalysatoren 5, 5' jeweils eine 
frei programmierbare Logikeinrichtung auf , in welcher die 
abgehorten Daten, insbesondere die abgehorten 
sicherheitsbezogenen Daten verarbeitet werden. Beispielsweise 
konnen die Sicherheitsanalysatoren 5, 5* durch Nachbilden der 
sicherheitsbezogenen Verknupfungen der Standardsteuerung 
deren als Ausgangsdaten uber den Bus gesendeten 
Verknupfungsdaten uberprufen. In vorliegendem Fall beziehen 
sich die sicherheitsbezogenen Verknupfungen auf einen 
einzelnen Busteilnehmer 32. In diesem Fall ist der 
Sicherheitsanalysator 5 fur die sicherheitsbezogenen Ein- 
bzw. Ausgange, welche diesen Busteilnehmer zugeordnet sind, 
zustandig. In der in Fig. 1 dargestellten Ausfuhrungsf orm der 
Erfindung sind die Sicherheitsanalysatoren 5 bzw. 5' keine 
logischen Busteilnehmer des Automatisierungssystems . Der 
Sicherheitsanalysator 5 weist jedoch einen 
sicherheitsbezogenen Ausgang 6 auf, uber welchen der dem 
Sicherheitsanalysator zugeordnete Busteilnehmer 32 
ausgeschaltet werden kann. Dies geschieht mittels einer 
Schaltung eines Schutzes 7, welcher den Busteilnehmer bzw. 
die angeschlossenen Baugruppen und Maschinen von der 
Versorgungsspannung trennt. Auf diese Weise fuhrt der 
Sicherheitsanalysator 5 im Ansprechen auf die Uberprufung 
Oder den Vergleich eine sicherheitsbezogene Funktion, hier 
das Abschalten der Versorgungsspannung aus. Wenn 
beispielsweise ein Fehler der sicherheitsbezogenen 
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Verknupfungsdaten aus der Standardsteuereinrichtung erkannt 
wird, kann der Sicherheitsanalysator uber den beschriebenen 
Ausgang den betroffenen Busteilnehmer abschalten, da die 
sicherheitsbezogene Steuervmg durch die 
Standardsteuerungseinrichtung nicht mehr vorgabegemaS 
arbeitet. In ahnlicher Weise wird ein Busteilnehmer 
abgeschaltet, wenn die sicherheitsbezogene Steuerung nicht 
notwendige Daten an den Busteilnehmer sendet and 
infolgedessen Gefahr besteht, daS die Anlage in einen 
undefinierten Zustand gerat. 

In der beschriebenen Aus fuhrungs form ist uber einen 
Buskoppler 9 ein Lokalbusstich 8 mit drei Busteilnehmern 33, 
34 und 35 angeordnet. Diese Busteilnehmer sind von der 
Funktionfahigkeit und vom Betrieb des Busteilnehmers 32 
abhangig, welcher dem Sicherheitsanalysator 5 zugeordnet ist. 
Demnach ist es notwendig, beim Abschalten des Busteilnehmers 
32 auch die Busteilnehmer des Lokalbusstichs 8 von der 
Versorgungsspannung zu trennen. Diese Verrieglungslogik ist 
im Sicherheitsanalysator 5 abgelegt. Somit sind insgesamt 
vier Busteilnehmer mit ihren nachgeordneten Baugruppen und 
Maschinen abzuschalten, was in Fig. i schematisch durch einen 
Vierfach-Schutz 7 dargestellt ist. 

Der Sicherheitsanalysator 5' ist wie der erste 
Sicherheitsanalysator S zum Abhoren der uber den Bus 
transportierten Daten eingerichtet . Im Gegensatz zum ersten 
Sicherheitsanalysator S weist er jedoch keinen Ausgang auf, 
mit welchem er sicherheitsbezogene Funktionen ausfuhren kann. 
Statt dessen umfafit er einen sicherheitsbezogenen Eingang 10, 
liber welchen der Sicherheitsanalysator mit einer 
sicherheitsbezogenen Einrichtung li des 
Automatisierungssystems zur Erfassung von 
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sicherheitsbezogenen Daten verbunden ist. Im vorliegenden 
Fall umfafit diese Einrichtung 11 einen Photodetektor, welcher 
als Teil einer Lichtschranke den Arbeitsbereich eines 
SchweiSroboters uberwacht. Der Sensor ist nicht mittels eines 
Busteilnehmers an den Automat is ierungsbus angeschlossen, 
sondern direkt an den Sicherheitsanalysator 5 • . Im Ansprechen 
auf die uber den sicherheitsbezogenen Eingang 10 des 
Sicherheitsanalysators 5' erfaSten sicherheitsbezogenen Daten 
fuhrt auch hier der Sicherheitsanalysator eine 
sicherheitsbezogene Funktion aus. Wird durch den 
Photodetektor 11 das Eindringen einer Person in den 
Arbeitsbereich des Roboters erfaSt, so schaltet der 
Sicherheitsanalysator 5' den entsprechenden Busteilnehmer 38 
und seine zugeordneten Baugruppen und den Roboter selbst aus. 
Hierzu weist der Sicherheitsanalysator 5' eine Einrichtung 
zum Manipulieren der auf den Bus libertragenen Eingangs- und 
Ausgangsdaten auf. Dabei kann zumindest ein Datum des 
Datenstroms uberschrieben, geloschc und/oder zumindest ein 
Datum in den Busdatenstrom eingefugt werden. Ein derartiger 
Vorgang ist in den Fig. 6a und 6b veranschaulicht . Diese 
Figuren zeigen das Veranden von Eingangs- bzw. Ausgangsdaten 
der Standardsteuereinrichtung 4 durch den 
Sicherheitsanalysator 5V In beiden Fallen wird eine 
Informationseinheit 12 in einen Speicher des 
Sicherheitsanalysators eingelesen und daraufhin an die 
entsprechende Stelle des Datenstroms eine aus einem anderen 
Speicher des Sicherheitsanalysators entnommene 
Informationseinheit eingeschrieben. Die Abschaltung des 
Busteilnehmers und der daran angeschlossenen Baugruppen und 
damit des Roboters kann sowohl uber die Manipulation der 
Eingangsdaten als auch uber die Manipulation der 
Ausgangsdaten der Standardsteuereinrichtung vorgenommen 
werden. Wird beispielsweise der Eingangsdatenstrom derartig 
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verandert, daS der Standardsteueningseinrichtung 4 ein 
Betriebsparameter aulSerhalb der vorgegebenen Grenzen gemeldet 
wird, so schaltet die Standardsteueningseinrichtung uber den 
Bus mittels eines dem bestimmten Busteilnehmer 38 
ubermittelten sicherheitsbezogenen Verknupfungsdatums diesen 
Busteilnehmer und damit den SchweiSroboter ab. In gleicher 
Weise kann der Sicherheitsanalysator eine Freigabe durch 
Standardsteuereinrichtung mittels Uberschreiben des 
entsprechenden Ausgangsda turns ruckgangig machen. 

Fig. 6b zeigt den Fall, daS der Sicherheitsanalysator den 
Ausgangsdatenstrom auf dem Bus verandert . In diesem Fall 
manipuliert der Sicherheitsanalysator die an den 
Busteilnehmer 38 gesendeten Daten derartig, daS der 
Busteilnehmer seinen Ausgang und damit auch den 
SchweiSroboter abschaltet. 

Fig. 2 zeigt eine weitere Ausfuhrungsf orm der Erfindung. 
Dabei ist der Bus ein nach dem Master-Slave-Prinzip 
arbeitendes System, wobei die Standardsteuerungseinrichtung 
als Master und die einzelnen Busteilnehmer als Slaves 
fungieren. Das Bussystem ist uber eine Anschaltbaugruppe 41 
mit einem Host 40 verbunden, wobei die prozeSbezogene 
Steuerung im Host und die sicherheitsbezogene Steuerung in 
der Anschaltbaugruppe angeordnet ist bzw. ablauft. Die Anlage 
umfaSt einen einzelnen Sicherheitsanalysator 5, der direkt 
hinter die Anschaltbaugruppe zum Abhoren des Busdatenstroms 
an dem Bus angekoppelt ist. Durch diese MaSnahme wird 
sichergestellt, dafi der Sicherheitsanalysator an dem 
seriellen Bus mit Ringstraktur den gesamten Eingangs- als 
auch den gesamten Ausgangs-Datenstrom auf dem Bus abhoren 
kann. Aufgrund der Erkenntnis des gesamten Datenstroms uber 
den Bus legt der Sicherheitsanalysator 5 in der beschriebenen 
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Aus fuhrungs form ein vollstandiges ProzeSabbild in einem dafur 
vorgesehenen Speicher ab. Demzufolge ist der 
Sicherheitsanalysator in der Lage, die Gesamtheit der 
sicherheicsbezogenen Verknupfungsdaten der 
sicherheitsbezogenen Steuer^lng in der Anschaltbaugruppe zu 
uberprufen und bei Bedarf, d.h. beim Auftreten eines Fehlers, 
den Ausgang 6 zum Abschalten der Gesamtanlage mittels des 
Schutzes 7 sicherheitsgerichtet derart anzusteuern, daS die 
Versorgungsspannung fur die Gesamtanlage ausgeschaltet wird. 



Eine Modifikation der in Fig. 2 dargestellten Aus fuhrungs form 
zeigt das erf indungsgemalSe Automatisierungssystem in Fig. 3. 
Der Sicherheitsanalysator 5 ist hier in die Anschaltbaugruppe 
41 integriert. Die sicherheitsbezogene Steuerung der 
15 Standardsteuerungseinrichtung als auch die 
sicherheitsbezogene Datenverarbeitung des 
Sicherheitsanalysators laufen in der Anschaltbaugruppe in 
getrennten und unabhangigen Logikbausteinen ab. Weiterhin ist 
ein zweiter Sicherheitsanalysator 5 ' ' am Kopf des 
Lokalbusstichs 8 angeordnet . Diese Anordnung bedingt 
wiederum, daS der Sicherheitsanalysator 5" die Gesamtheit 
aller Eingangs- als auch der Ausgangsdaten fur die 
Busteilnehmer 33, 34 und 35 des Lokalbusstich 8 abhoren kann . 
und demgemaS ein vollstandiges ProzeSabbild fur den 
Prozefiablauf innerhalb des Lokalbusstichs anzulegen. Der 
Sicherheitsanalysator 5 ' • ist somit wie der 

Sicherheitsanalysator 5 im Fembus-Abschnitt in der Lage, die 
Gesamtheit der sicherheitsbezogenen Verknupfungsdaten der 
sicherheitsbezogenen Steuerung f(ir den Lokalbusabschnitt in 
der Anschaltbaugruppe zu iiberprufen und bei Bedarf wie oben 
stehend beschrieben, Gher eine Datenmanipulation die 
notwendigen sicherheitsbezogenen Funktionen auszuldsen. Auf 
diese Weise lassen sich hochste Sicherheitsanforderungen, die 
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an die im Busstich 8 vorliegenden sicherheitsrelevanten Ein- 
und Ausgange gestellt sind, erfullen, da der Lokalbusstich 8 
sowohl durch die sicherheitsbezogene Steuemng der 
Standardsceuereinrichtung als auch durch den 
Sicherheitsanalysator 5 und durch den Sicherheitsanalysator 
5'' abgesichert ist. 

Eine weitere Ausf uhrungsform der Erfindung zeigt Fig, 4. Das 
erf indungsgemaSe Automatisierungssystem umfalSt zwei 
Sicherheitsanalysatoren 5 und 5 ' , deren sicherheitsbezogenen 
Ausgange 6 und 6' miteinander gekoppelt sind. Beide Ausgange 
steuern eine Vielf ach-Schutzeinrichtung 7 zum Abschalten der 
Versorgungsspannung fur das Gesamtsyscem. Die Anlage wird 
durch eine Standardsteuerungseinrichtung 4 uber den seriellen 
Bus 2 gesteuert. Der Sicherheitsanalysator 5 kann aufgrund 
seiner Anordnung im System die Gesamtheit aller Eingangs- und 
Ausgangsdaten auf dem Bus abhoren, ausgenommen die 
Eingangsdaten des ersten Busteilnehmers 31, der zwischen der 
Steuerungseinrichtung 4 und dem Sicherheitsanalysator 5 
angeordnet ist. Der Sicherheitsanalysator 5' kann alle 
Eingangsdaten am Bus abhoren, alle Ausgangsdaten auSer die 
fur den letzten Busteilnehmers sind ihm jedoch nicht 
zuganglich, Der erste Sicherheitsanalysator 5 ist deshalb 
durch Umkopieren der betreffenden Oaten im BusdatenfluE in 
der Lage, die ihm zuganglichen Ausgangsdaten in Eingangsdaten 
umzukopieren und somit die dem Sicherheitsanalysator 5'. 
eigentlich nicht zuganglichen Ausgangsdaten zum Anlegen eines 
ProzefSabbildes fur den abzusichemden sicherheitsbezogenen 
Busteilnehmer 32 auch dem Sicherheitsanalysator 5' verfugbar 
zu machen. Da beide Sicherheitsanalysatoren dieselbe 
Eingangsinformation erhalten, konnen sie sich im Hinblick auf 
die sicherheitsbezogenen Ein- bzw. Ausgange des 
abzusichernden Busteilnehmers 32 uberwachen. Auf diese Weise 



ist eine verteilte Redundanz der Sicherheitstechnik im 
erf indungsgemaSen Automatisierungssystem realisiert. Im 
vorliegenden Beispiel weist der Sicherheitsanalysator 5* 
weiterhin einen sicherheitsbezogenen Eingang lo auf, an 
welchen ein Notschalter 13 angeschlossen ist. Auf das 
SchlieSen des Notschalters 13 spricht der 
Sicherheitsanalysator S\ mil der im Sicherheitsanalysator 
zugeordneten sicherheitsbezogenen Funktion an, namlich dem 
Offnen des Schutzes 7 zur Abschaltxing der Gesamtanlage. 

Das beschriebene Verfahren des Umkopierens von Eingangsdaten 
in Ausgangsdaten und umgekehrt wird erf indungsgemaS auch dazu 
benutzt, urn eine Datenverbindung in dem nach dem Master- 
Slave-Prinzip arbeitenden Automatisierungssystem zwischen 
zwei Slaves zu realisieren ohne daS der Master fur die 
Dateniibermittlung benotigt wird. Hierbei kann beispielsweise 
ein einem Busteilnehmer zugeordneter Sicherheitsanalysator 
das 2u ubermittelnde Datum des Busteilnehmers in den 
Eingangs-Datenstrom einfugen und somit einem nachf olgenden 
Busteilnehmer ohne die Beanspruchung des Masters zur 
Verfugung stellen. Auf diese Weise laSt sich bei Bedarf auch 
auf einfache Weise ein Multi- oder Broadcast der Information 
zu alien ubrigen nachf olgenden Busteilnehmern verwirklichen. 

In einer nichtdargestellten Ausfuhrungsform der Erfindung ist 
der Sicherheitsanalysator in einem zugeordneten 
sicherheitsgerichteten Busteilnehmer integriert . Die 
sicherheitsgerichteten Verknupfungen laufen dabei in einer 
Logikeinheit des Busteilnehmers ab, somit laSt sich im 
Busteilnehmer eingebaute Intelligenz fur die 
sicherheitsgerichteten Verknupfungen nutzen. Da der 
Busteilnehmer eine Busschnittstelle aufweist, veringert sich 
der zusatzliche Hardwareaufwand fur den Sicherheitsanalysator 
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betrachtlich. 

Bei der Datenubertragung in den beschriebenen 
erf indungsgemaiSen Automatisierungssystemen warden zumindest 
teilweise die sicherheitsbezogenen Daten in einem 
Sicherheitsprotokoll uber den Bus ubertragen. Dieses 
SicherheitsprotoJcoll kann je nach Anforderung zusatzlich zum 
Sicherheitsdatum das negierte Sicherheitsdatum, eine Adresse 
und/oder eine Datensicherungsinformation in Form eines CRC 
umfassen. Auf diese Weise lassen sich Fehler bei der 
Datenubertragung leicht erkennen. Zu diesem Zweck wird ein in 
erf indungsgemaiSen Automatisierungssystem verwendeter 
Sicherheitsanalysator derartig eingerichtet , daiS er das 
Sicherheitsprotokoll lesen und entsprechend auswerten kann. 

Mittels der im Sicherheitsprotokoll ubertragene Adresse des 
Sicherheitsbusteilnehmers kann der Sicherheitsanalysator bei 
geandertem Busaufbau, beispielsweise durch 
sicherheitsbezogene Abschaltung der Komponente, eine 
Anpassung der Programmierung vomehmen bzw. den Datensatz des 
ihm zugeordneten Teilnehmers erkennen und die Veranderung des 
Busaufbaus berucksichtigen. Zusatzlich kann durch die 
Aufnahme der Adresse in das Sicherheitsprotokoll ein 
Ablagefehler durch einen Busfehler oder einen Ausfall einer 
dezentralen Einheit erfafit werden. 

Eine besondere Ausfuhrungsform eines Sicherheitsanalysators 
zur Verwendung im erf indungsgemaEen Automatisierungssystem 
zeigt Fig. 5. Der dargestellte Sicherheitsanalysator 5 weist 
sowohl 4 sicherheitsgerichtete Eingange 10 zur Erfassung 
sicherheitsgerichteter Information von Photodetektoren 11 als 
auch 4 sicherheitsgerichtete Ausgange 6 zum Abschalten der 
Versorgungsspannung von 4 Automatisierungsbuskomponenten 
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durch Schucze auf. Die verschiedenen sicherheicsgerichceten 
Ausgange 6 werden dabei im Ansprechen auf die im 
Sicherheitsanalysator ablaufenden Verknupfungen, den 
Vergleich mit sicherheitsgerichteten Verknupfungen der 
Standardsteuerung und/oder eine sicherheitsbezogene 
Eingangsinformation Qber den Eingang lo angesteuert. Hierbei 
ist eine Verrieglungslogik im Sicherheitsanalysator abgelegt, 
die vorgibt, welche sicherheitsgerichteten Funktionen beim 
Auftreten eines bestinmiten Fehlers ausgelost werden, d.h. 
welche Komponenten beira Auftreten des Fehlers von der 
Versorgungsspannung abgetrennt werden mussen. 

Es liegt im Rahmen der Erfindung, dalS ein 
Sicherheitsanalysator neben der Verarbeitung von 
sicherheitsbezogenen Daten auch eine ProzeSdatenverarbeitung 
durchf uhrt . 



Weiterhin ist f estzuhalten, daS das Prinzip der Erfindung 
nicht auf die in den Ausfuhrungsbeispielen dargestellten 
Automatisierungsbussysteme beschrankt ist, sondem statt 
dessen auf alle Automat isierungsanlagen mit einem Bus 
angewendet werden kann. 
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Automatisierungssystem (l) , zumindest umfassend 
ein Bussystem (2) , daran 

angeschlossene E/A-Busteilnehmer (31-38) und 
eine Standardsteuenmgseinrichtung (4; 40, 41), 
sowie wenigstens 

einen Sicherheitsanalysator (5, 5\ 5**), 
welcher den DatenfluS uber das Bussystem mithort und 
zum Ausfuhren zumindest einer sicherheitsbezogenen 
Funktion ausgebildet ist, 
dadurch gekennzeichnet, dag 

die Standardsteuerungseinrichtung zumindest einen 
sicherheitsbezogenen Ausgang steuert und daS 
der Sicherheitsanalysator zum Uberprufen und/oder 
Verarbeiten von sicherheitsbezogenen Daten im 
Busdatenstrom eingerichtet ist. 



Automatisierungssystem (1) nach Anspruch 1, 
dadurch gekennzeichnet , daS der Sicherheitsanalysator 
(5, 5\ eine frei programmierbare Logikeinrichtung 

aufweist, welche die abgehorten Daten, insbesondere die 
abgehorten sicherheitsbezogenen Daten verarbeitet. 

Automatisierungssystem (1) nach Anspruch 1 oder 2, 
dadurch gekennzeichnet , daS 

der Sicherheitsanalysator (5, 5\ 5^^) kein logischer 
Busteilnehmer des Automatisierungssystems (1) ist und 
dieser zumindest einen sicherheitsbezogenen Ausgang (6) 
aufweist, uber welchen wenigstens eine dem 
Sicherheitsanalysator zugeordnete Baugruppe des 



Automat isierungssystems, insbesondere wenigstens ein 
Busteilnehmer (31-38), ein- oder ausschaltbar ist. 

Automatisierungssystem (1) nach Anspruch 3, 
dadurch gekennzeichnet , dafi 

der Sicherheitsanalysator (5, 5\ zur Abschaltung 

einer Sicherheitsinsel, eines Busstichs (8) und/oder der 
Gesamtanlage eingerichtet ist. 

Automatisierungssystem (1) nach einem der Anspruche 1 
bis 4, dadurch gekennzeichnet , daS 
der Sicherheitsanalysator {5M zumindest einen 
sicherheitsbezogenen Eingang (10) aufweist, uber welchen 
der Sicherheitsanalysator mit einer sicherheitsbezogenen 
Einrichtung (11) des Automatisierungssystem zur 
Erfassung von sicherheitsbezogenen Daten verbunden ist. 

Automatisierungssystem (1) nach einem der Anspruche 1 
bis 5, dadurch gekennzeichnet, dafi 

das Bussystem (2) uber eine Anschaltbaugruppe (41) mit 
einem Host (40) verbunden ist, 

wobei die prozeSbezogene Steuerung im Host und die 
sicherheitsbezogene Steuerung in der Anschaltbaugruppe 
angeordnet ist. 

Automatisierungssystem (1) nach einem der Anspruche 1 
bis e, dadurch gekennzeichnet, daS 

der Bus (2) ein serieller Bus ist und zumindest ein 
Sicherheitsanalysator .(5, 5') im Fembus-Abschnitt des 
Automatisierungssystems angeordnet ist, 

Automatisierungssystem (1) nach Anspruch 7, 
dadurch gekennzeichnet, dafi 
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ein Sicherheitsanalysator (5) direkt nach dem Host (40) 
Oder der Anschaltbaugruppe (41) angeordnet ist. 

Automatisierungssystem (1) nach einem der Anspruche 1 
bis 8, dadurch gekennzeichnet, daS 

ein Sicherheitsanalysator (5) in der Anschaltbaugruppe 
(41) angeordnet ist. 

Automatisierungssystem (1) nach einem der vorstehenden 
Anspruche 1 bis 9, dadurch gekennzeichnet , dafi der 
Sicherheitsanalysator (5, 5*, 5**) eine 
Speichereinrichtung zum Anlegen eines ProzeSabbildes 
umf aSt . 

Automatisierungssystem (1) nach einem der vorstehenden 
Anspruche 1 bis 10, 
dadurch gekennzeichnet, dafi 

der Sicherheitsanalysator (5, 5\ eine Einrichtung 

zum Manipulieren des auf dem Bus (2) ubertragene 
Datenstroms, insbesondere der Eingangs- und/oder 
Ausgangsdaten, auf weist . 

Automatisierungssystem (1) nach Anspruch 11, 
dadurch gekennzeichnet, dafi 

die Einrichtung Eingangs- und/oder Ausgangsdaten 
\iberschreibt und/oder Daten in den. Datenstrom einfugt. 

Automatisierungssystem (1) nach einem der vorstehenden 
Anspruche 1 bis 12, 
dadurch gekennzeichnet, dafi 

zumindest ein Sicherheitsanalysator (5, 5*, 5**) 
redundant aufgebaut ist. 
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Verfahren zum Betrieb einer Automatisieningssystems, 
insbesondere eines Automat isierungssys terns (1) nach 
einem der Anspruche 1 bis 13, 
dadurch gekennzeichnet , dafi durch die 
Standardsteuezrungseinrichtimg (4; 40, 41) die 
Prozefisteuerung mit der Verarbeitung von 
prozeSgebundenen E/A-Daten und eine sicherheitsbezogene 
Steuerung mit der Verarbeitung von sicherheitsbezogenen 
Daten durchgefuhrt wird und weiterhin eine Verarbeitung 
sicherheitsbezogener Daten auf zumindest einem 
Sicherheitsanalysator (5, 5\ durchgefuhrt wird, 

wobei im Sicherheitsanalysator sicherheitsbezogene 
Daten, insbesondere sicherheitsbezogene 
Verknupfungsdaten im Busdatenstrom verarbeitet werden. 

Verfahren nach Anspruch 14, 
dadurch gekennzeichnet, daS 

in einem Sicherheitsanalysator (5, 5\ 5**) ein 
Vergleich^ der uber den Bus ubertragenen 
sicherheitsbezogenen Verknupfungsdaten der 
Standardsteuerungseinrichtung (4, 41) und/oder zumindest 
eines weiteren Sicherheitsanalysators (5, 5\ S'') mit 
den entsprechenden Verknupfungsdaten des ersten 
Sicherheitsanalysators durchgefuhrt wird. 

Verfahren nach einem der Anspruche 14 oder 15, 
dadurch gekennzeichnet, daS 

die durch die Standardsteuerung (4, 41) erzeugten und 
als Ausgangsdaten uber den Bus gesendeten 
Verknupfungsdaten in zumindest einem 

Sicherheitsanalysator (5, S\ 5'') durch Nachbilden der 
sicherheitsbezogenen Verknupfungen der 
Standardsteuerung (4, 41) uberpruft werden. 
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Verfahren nach einem der Anspruche 14 bis 16, 
dadurch gekennzeichnet , dal5 

im Ansprechen auf die Uberprufung oder den Vergleich 
durch den Sicherheitsanalysator (5, 5\ 5»») 
sicherheitsbezogene Funktionen ausfuhrt warden. 

Verfahren nach einem der Anspruche 14 bis 17, 
dadurch gekennzeichnet , daS 

im Ansprechen auf die uber den sicherheitsbezogenen 
Eingang (10) des Sicherheitsanalysators (5^) erfafiten 
sicherheitsbezogenen Daten der Sicherheitsanalysator 
sicherheitsbezogene Funktionen ausfuhrt. 

Verfahren nach Anspruch 18, 
dadurch gekennzeichnet , daS 

das Ausfuhren einer sicherheitsbezogenen Funktion das 
Ein- Oder Ausschalten zumindest einer Baugruppe des 
Automat isierungsbussystems, insbesondere eines 
Busteilnehmers (32-38) umfaSt. 

Verfahren nach einem der Anspruche 14 bis 19, 
dadurch gekennzeichnet , dalS 

der Sicherheitsanalysator (5\ 5^^ mittels einer 
Einrichtung zum Manipulieren des Datenstroms auf dem Bus 
(2) zumindest ein Datum des Datenstroms uberschreibt , 
loscht und/oder zumindest ein Datum in den Bus- 
Datenstrom einfugt. 

Verfahren nach der Anspruch 20, 
dadurch gekennzeichnet , daS 

der Sicherheitsanalysator (5, S\ 5'*) den abgehorten 
Datenstrom zumindest teilweise abspeichert und 
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Eingangsdaten des Bus-Datenstroms in Ausgangsdaten des 
Bus-Datenstroms, und uragekehrt, umkopiert. 

Verfahren nach einem der Anspruche 14 bis 21, 
dadurch gekennzeichnet, daS 
sicherheitsbezogenen Daten in einem 
Sicherheitsprotokoll uber den Bus (2) ubertragen 
warden. 



Verfahren nach Anspruch 22, 
dadurch gekennzeichnet, dafi 

das Sicherheitsprotokoll zusatzlich zum Sicherheitsdatum 
das negierte Sicherheitsdatum, eine laufende Nummer, 
eine Adresse und/oder eine Datensicherungsinformation 
(CRC) umfafit. 



Verfahren nach einem der Anspruche 14 bis 23, 
dadurch gekennzeichnet, dafi 

der Bus ein nach dem Master-Slave-Prinzip arbeitendes 
System ist, wobei Daten zwischen zumindest zwei Slaves, 
insbesondere zwischen einzelneh Busteilnehmem (31-38), 
mittels einer baten-Verbindung uber wenigstens einen 
Sicherheitsanalysator {5, 5\ 5") ubertragen werden, 
wobei der Sicherheitsanalysator Daten im Busdatenstrom 
umkopiert . 

Verfahren nach einem der Anspruche 14 bis 23, 
dadurch gekennzeichnet, dafi 

der Bus ein nach dem Master-Slave-Prinzip arbeitendes 
System ist, wobei Daten zwischen zumindest zwei Slaves, 
insbesondere zwischen einzelnen Busteilnehmem (31-38), 
mittels einer Daten-Verbindung uber die Steuerung oder 
den Master Qbertragen werden, wobei die Steuerung bzw. 



30 



der Master Daten im Busdatenstrom umkopiert, 

Verfahren nach einem der Anspruche 14 bis 25, 
dadurch gekennzeichnet, daS 

mittels eines Sicherheitsanalysators (5, s\ S'') 
Qualitatsdaten erzeugt und/oder eine Aufbereitung der 
gelesenen Daten zur weiteren Verarbeitung durchgefuhrt 
werden . 

Verfahren nach einem der Anspruche 14 bis 26, 
dadurch gekennzeichnet, daS 

die in einem Sicherheitsanalysator (5M ablaufenden 
sicherheitsbezogenen Verknupfungen zumindest teilweise 
redundant in wenigstens einem weiteren 

Sicherheitsanalysator (5*M durchgefuhrt und durch beide 
Sicherheitsanalysatoren zumindest teilweise die 
gleichen Sicherheitsfunktionen ausgefuhrt werden. 

Verfahren nach einem der Anspruche 14 bis 27, 
dadurch gekennzeichnet, daS 

ein Sicherheitsanalysator zumindest teilweise auch eine 
ProzeSdatenverarbeitung durchfuhrt . 



Zusammenf assuna 



Die Erfindung betrifft ein sicherheitsbezogenes 
Automatisierungssystem und ein Verfahren zum Betrieb eines 
derartigen Systems. 

Urn ein sicherheitsbezogenes Automatisierungsbussystem 
bereitzustellen, welches mit einer geringen Hardware- 
Redundanz auskommt und flexibel an die jeweiligen 
Anfordemisse angepafit werden kann, umfafit das 
Automatisierungssystem zumindest einen Sicherheitsanalysator, 
der mittels einer Schnittstelle an den Bus angeschlossen ist 
und den DatenfluiS uber den Bus mithort, wobei der Analysator 
zum Ausfuhren von sicherheitsbezogenen Funktionen 
eingerichtet ist. Das Automatisierungssystem zeichnet sich 
dadurch aus, dafi die Standardsteuereinrichtung zumindest 
einen sicherheitsbezogenen Ausgang ansteuert und der 
Sicherheitsanalysator zur Uberprufung und/oder zum 
Verarbeiten von sicherheitsbezogenen Daten im Busdatenstrom 
ausgebildet ist. 
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INTERNAHONALER VORLAUHGER 

PflUFUNGSBERICHT 



(ntemationales Aktenzeichen PCT/OEOO/01 901 



1. Grundlage des Berichts 

1 . Hinsichtlich der Bestandteile der intemationalen Anmeldung [Ersatzbfatter, die dem Anmetdeamt auf eine 
Aufforderung nach Artkef 14 hin vorgefegt wurden, gelten im Rahmen dieses Berichts als ^rsprOnglich 
&ngerBichf and sind ihm ntcht beigefugt, weil sie kelne Andemngen enttialten (Regein 70. 16 and 70. 17)): 
Beschreibung, Seiten: 

1 *23 ursprOngliche Fassung 

Patentanspruchet Nr.: 

1-31 eingegangen am 17/08^001 tnit Schreiben vom 14/0G/2001 

Zeichnungen, Blatter: 

1/5-5/5 ursprOngliche Fassung 



2. Hinsichtlich der Sprache; Alle vorstehend genannten Bestandteile standen der Beh^rde in der Sprache, in der 
die intemationale Anmeldung eingereicht worden ist, zur Verfugung oder wufden in dieser eingereicht, safem 
unterdiesem Punkt ntchts anderes angegeben ist. 

Die Bestandteile standen der Behdrde in der Sprache: zur VerfOgung bzw. wurden in dieser Sprache 
eingereicht; dabei handelt es sich urn 

□ die Sprache der Obersetzung, die fur die Zwecke der intemationalen Recherche eingereicht worden ist (nach 
Regel 23.1(b)). 

□ die Verbffentiichungssprache der Intemationalen Anmeldung (nach Regel 48.3(b)}. 

□ die Sprache der Obersetzung, die fGr die Zwecke der intemationalen vorlauflgen Prufung e^gereicht worden 
ist (nach Regel 55.2 und/oder 55.3). 

3. Hinsichtlich der In der intemationalen Anmeldung otfenbarten Nudeotld- und/oder Amlnoaauresequenz ist die 
Internationale vorl^fige Prufung auf der Grundlage des SequenzprotokoUs durchgefuhrt worden, das: 

□ in der intemationalen Anmekiung in schriftllcher Form enthalten ist. 

□ zusammen mit der intemationalen Anmekiung in computerfesbarer Form eingereicht woden ist 

□ bei der Behdrde nachtraglich in schriftlicher Form eingereicht worden ist. 

□ bei der Behorde nachtrdglich in computerfesbarer Form etr>gereicht worden ist. 

□ Die Erkl&rung. da6 das nachtraglich eingerek:hte schriftliche Sequenzprotokoll nicht uber den 
Offenbaoingsgehalt der intemationalen Anmeldung im Anmeldezeitpunkt hinausgeht, wurde vorgelegt. 

□ Die Erkfarung. da3 die in computerlesbarer Form erfassten Informationen dem schriftlk;hen 
Sequenzprotokoil entsprechen, wurde vorgelegt. 

4. Aufgrund der Andemngen sind folgende Untenagen fortgefallen: 
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INTERNATIONALER VORLAURGER 
PRUFUNGSBERICHT Internationales Aktenzetchen PCT/DEOO/01 90 1 



□ Beschreibung, Seiten: 

□ AnsprQche, Nr.: 

□ Zeichnungen, Blatt 

5. □ Dfeser Bericht ist ohne BerQdcsichtigung (von einigen) der Anderungen erstellt worden. da diese aus den 

angegebenen Grunden nach Auffassung der Behdrde Ctoer den Offenbarungsgehatt in der ur$prunglich 
eingereichten Fassung hinausgehen (Regel 70.2(c}}. 

(Auf Ersatzbfatter, dSne sdOtB Anderungen enthdten, ist unter PunU 1 hirmw&sen^sie stnd diesem Bericht 
beizufOgeo), 

6. Etwaige zusatzliche Bemerkungen: 



V, Begrundete Festetelfung nach Artikel 35(2) hinsichtlich der Neuheit, der erfinderischen Tatigkeit und der 
gewerbltchen Anwendbarkeit; Unterlagen und Erkldrungen zur Stutzung dieaer Feststellung 

1. Feststellung 

Neuheit (N) Ja: Anspnjche l -14, 16-31 

Nein: Anspruche 15 

Erfinderische TatigKeit (ET) Ja: AnsprQche 1 *14, 23 

Nein: AnsprOdie 16-22« 24-31 

Gewerbliche Anwendbarkeit (GA) Ja; AnsprQche 1 -31 

Nein: Anspruche 

2. Unteriagen und Erk/arungen 
siehe Beiblatt 

VII, Besti'mmte Mingel der iirtemationalen Anmeldung 

Es wurde f estgesteilt, dal) die intennationale AnmeMung nach Fomn Oder Inhalt fblgende Mangel aufweist: 
slehe Beiblatt 



VIU. Bestlmmte Bemerkungen zur Internationalen Anmeldung 

Zur Klarheit der Patentanspruche. der Beschreibung und der Zeichnungen oder zu der Frage. ob die Anspruche 
in vollem Umfang durch die Beschreibung gestutzt werden, ist folgendes zu bemerken: 
siehe Beiblatt 
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Sektion V 

2ur Prufung wurden folgende DrucKschriften als retevanter Stand der Technik 
nerangezogen: 

* B-ECTBONIC GMBH » CO, a. Oktobw ,S98 

\i 998- 10^22) 

D2: EP 0 770 942 A (ELAN SCHALTELEMENTE GMBH) 2. Mai 1997 (1997-05.02) 
D3: MOHLENBEIN H: "INTERBUS-DEZENTRALE ECHTZEIT-PERIPHERIE FUER 

STANDARD.SPS-SYSTEME-ELEKTRIE.DD.VEBVERL^GTECHNIK BERLIN Bd 
44, Nr. 7. 1 990. Selten 244-249. XPOOOl 62759 ISSN" 001 3-5399 

04: US 4 680 753 A (FULTON TEMPLE L ET AL) 14. Juli 1987 (1987-07-14) 

05: EP 0 837 394 A (ELAN SCHALTELEMENTE GMBH) 22. April 1998 (1998-04-22) 



06: DE 195 10 470 A (KLASCHKA IND ELEKTRONIK) 17. Oktober 1996 (1996-10-17) 
07: EP 0 600 31 1 A (SQUARE 0 DEUTSCHLAND) 8. Jun1 1994 (1994-0W)8) 

1 . Dokument D1 zeigt in Rg. 1 eIn Automatlsierungssystem. zumindest umfassend 

- em Bussystem (1), daran 

- angeschlossene E/A-Busteilnehmer (7) und eina Standarsteuerungseinrichtung (3) 
sowte wenigstens " 

. einen SIcherheltsanalysator (8). welcher der den DatenfluB uber das Bussystem 
mrthort und zum AusfOhren zumindest einer sichertieitsbezogenen Funktion 
ausgebildet ist. wobel die Standardsteueningselnrichtung zumindest einen 
sicherheitsbezogenen Ausgang steuert und der SIcherheltsanalysator zum 
Uberprufen und/oder Verarbelten von sicherheltsbezogenen Daten im 
Busdatenstrom eingerichtet ist (Spaite l/Zellen 34-64. Spaite 2^ilen 8-37 Soalte 
3/2etlen 14-34) *^ 

Der SIcherheltsanalysator welst eine programmierbare Logikelnrichtung auf. welche 
die abgehorten Daten. insbesondere die abgehorten sicherheltsbezogenen Oaten 
verarbeitet (Spaite 3/2ellen 19-22). 

Der Sicherheitsanalysator (8) ist kein togischer Busteilnehmer dcs 
Automatisierungssystems und welst zumindest einen sichertieitsbezogenen Ausgang 
auf. uber welchen wenigstens eIne dem Sicherheitsanalysator zugeordnete 
Baugruppe des Automatlsierungssystems. insbesondere wenigstens ein 
Busteilnehmer, eIn- Oder ausschaltbar Ist (Spaite 3/2ellen 26-34). 
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Jedoch ist der Druckschiift nicht zu entnehmen, da3 der Sicherheitsanalysator eine 
Bnrichtung zum Manipulieren des auf dem Bus ubertragGnen Datenstroms aufweist. 

02 offenbait ein Automatisierungssystem, dal3 jedoch mit zwei unabhangigen 
Bussystemen ausgestattet ist. 

D3 beschreibt ein dezentrafes l/O-Bussystem (iNTERBUS)i aus der jedoch kein 
Sicherheitsanalysator, wie in Anspmch 1 definiert. zu entnehmen Ist. 

D4 beschreibt ein Automatisierungssystem unrifassend ein Bussystenn, daran 
angeschlossene E/A Busteilnehmer und ein (darunter ausgewahiten) 
Sicherheitsanalysator (SAM), der eine Teilnehmerliste" der aktiven Teilnehmer fuhrt. 
Der Sicherheitsanalysator weist jedoch keine Einrichtung zum Manipulieren des Ober 
den Bus ubertragenen Datenstroms auf. 

D5 zeigt ein Verfahren zum Betrieb eines Automatisieaingssystems, wobei durch 
eine Standardsteuenjngseinrichtung, eine ProzeBsteuerung mit der Verarbeitung von 
prozeBgebundenen E/A-Daten und eine sicherheitsbezogene Steuerung mit der 
Verarbeitung von sicherheitsbezogenen Daten durchgefuhrt wird und weiterhin eine 
Verarbeitung sicherheitsbezogener Daten auf zumindest einem Sicherheitsanalysator 
durchgefuhrt wird, wobei im Sicherheitsanalysator sicherheitsbezogene Daten 
verarbeitet werden (Spalte 6/Zeile 48-Spaite 9/2eile 45). 

Aus diesem Grund ist der Gegenstand des unabhangigen Anspruchs 15 nicht neu 
(Artlkel 33(2) PCT). 

Der Sicherheitsanalysator aus D5 weist jedoch keine Einrichtung zum Manipulieren 
des uber den Bus ubertragenen Datenstroms auf. 

D6 und 07 zeigen weitere ObenA^achungsvorrichtungen, welche jedoch nicht die 
Merkmale des Vom'chtungsanspruchs 1 aufweisen. 

Aus den vorgenannten Grunden ist der Gegenstand des Anspruchs 1 neu (Artlkel 
33(2) PCT) gegenuber dem in den Dokumenten D1-D7 gezeigten Stand der Technik. 
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Oa jedes der genannten Dokumente ein verschiedenes Konzept der 
sicherheitsbezogenen Steuerung aufwei^ ist es fur den Fachmann als nicht 
naheliegend anzusehen. einzelne Merkmale der unterschiediichen Systeme in den 
Druckschriften zu kombinieren. 

Oaher sind die Merkmale des Anspruchs 1. insbesondere da8 der 
Sicherheitsanalysator eine Einrichtung zum Manipulieren des uber den Bus 
ubertragenen Datenstroms aufweist, fur den Fachmann aus den Dokumenten 01-D7 
nicht in offensichtlicher Weise zu entnehmen. 

Folgirch beruht der Gegenstand der AnsprQche 1*14 auf erfinderischer Tatigkeit 
(Artikel 33(3) PCT). 

Die i\/lerkmale der Anspruche 16-22, 24-31 sind, soweit nicht schon aus dem Stand 
der Technik in D2-D7 bekannt lediglich nahetiegende Ausfuhrungsformen des 
Verfahrens zum Betrieb eines Automatisierungssystems nach Anspruch 1 5, zur 
Losung der gestellten Aufgabe. 

Daher beruhen die Gegenstande der Anspruche 16*22, 24-31 nicht auf erfinderischer 
Tatigkeit (Artikel 33(3) PCT). 

Das Merkmal des Anspruchs 23, namlich daB der Sicherheitsanalysator eine 
Einrichtung zum Manipulieren des uber den Bus ubertragenen Datenstroms aufweist 
ist, wie vorab bereits ausgefuhrt weder aus einer der Druckschriften 01-D7 bekannt 
noch nahegelegt. 



Der Gegenstand des Anspruchs 23 erfulit damit die Erfordemisse des Artikels 33(2). 
(3) PCT. 



Der unabhangige Anspruch 15 ist nicht in der korrekten zweiteiligen Form nach 
Regel 6.3 b) PCT abgefaBt. 

Die Beschreibungseinleitung ist nicht an den in den Dokumenten D1-D7 offenbarten 
einschlagige Stand der Technik angepaBt. 



Der relevante Stand der Technik ist nicht in der Beschreibung aufgezeigt (Regel 5.1 
(ii) PCT), 



Sektion Vii 
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Sektion VIII 

Da der unabhangige Verfahrensanspruch 15 nicht neu 1st (SeWion V). lassen die 
unterechledlichen Definitionen In den weiteren Vorrlchtungsansprtichen bzw. im 
unabhanglgen Vomchtungsanspnjch 14 Unklarheiten Qber den eigentlich zu 
schQtzenden Gegenstand aufkommen (Artikel 6 PCT). 

Angeslchts des lediglich fakultativen Hinweises (-jnsbesondere") in 
Verfahrensanspruch 15 auf die Gegenstande der AnsprQche 1-14 erscheint es auch 
weiterhin, als ob zwischen den Vorrichtungsanspruchen 1-14 und 
Verfahrensanspnjch 15. in welchem nicht die Funktion eine Einrichtung im 
SIcherheiteanalysatorzurManiaillafiandes auf dem Bus ubertragenen Dalenstroms 
ate Verfahrensschritt definiert i$t, kein technischer Zusammenhang im Sinne der 
Regel 13.2 PCT besteht, der In einem odermehreren gleichen bzw. entsprechenden, 
besonderen technischen IVIerkmalen zum Ausdruck kommt. 



FwmWaU PCT/BalBalV4<» (Blatt 4) (EPA.Ap»ll 1897) 
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Patentanspruche : 

1. Automatisierungssystem (1), gumindcot 
umfassend zusiindest 

ein Bussystem (2), daran 

daran angeschlossene E/A-Busteilnehmer (31-38) und 
eine Standardsteuerungseinrichtung (4; 40, 41), 
sowie wcnigotcno 

wenigstens einen Sicherheitsanalysator 
(5, 5*, 5*M/ welcher den Datenflufi uber das 
Bussystem mithort und zum Ausfuhren zumindest einer 
sicherheitsbezogenen Funktion ausgebildet ist, 
dadurch gekennzeichnet , dafi 
15 die CtandardatGUGrungocinrichtung gumindcot cincn 

oichcrhGitobcgogcnen Auagang otcucrt und dal5 
der Sicherheitsanalysator zum Uberprufen und /odor 
Verarbeiten von sicherheitsbezogenen Daten im 
Busdatenstrom eingerichtet ist und/oder 
eine Einricht\ing zum Manipulieren des auf dem Bus (2) 
ubertragenen Datenatroms aufweist. 
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2, Automatisierxingssystem (1) nach Anspruch 1, 
dadurch gekennzeichnet/ 

25 daS durch die Standardsteuerujigseinrichtiing zumindeat 

ein aicherheitsbezogener Ausgang gesteuert wird. 

3, Automatisierungssystem (1) nach Anspruch 1 oder 2, 

S-r dadurch gekennzeichnet , daS der Sicherheitsanalysator 
3° (5, 5*, 5**) eine frei programmierbare Logikeinrichtung 

aufweist, welche die abgehorten Daten, insbesondere die 
abgehorten sicherheitsbezogenen Daten verarbeitet. 
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Automatisierungssystem (1) nach eiaem der Anspruche i 
bis odcg 3 *, 

dadurch gekennzeichnet, dafi 

der Sicherheitsanalysator (5, 5\ 5-) kein logischer 
Busteilnehmer des Automatisierxmgssystems (1) ist und 
dieser zumindest einen sicherheitsbezogenen Ausgang (6) 
aufweist, uber welchen wenigstens eine dem 
Sicherheitsanalysator zugeordnete Baugruppe des 
Automatisierungssystems, insbesondere wenigstens ein 
Busteilnehmer (31-38), ein- oder ausschaltbar ist. 

Automatisierungssystem (1) nach Anspruch 4 3-, 
dadurch gekennzeichnet, daS 

der Sicherheitsanalysator (5, 5\ 5-) zur Abachaltung 
einer Sicherheitsinael, eines Busstichs (8) und/oder der 
Gesamtanlage eingerichtet ist. 



Automatisierungssystem (1) nach einem der Anspriiche 1 
bis 5 4, 

dadurch gekennzeichnet, daS 

der Sicherheitsanalysator (5') zumindest einen 
sicherheitsbezogenen Eingang (10) aufweist, iiber welchen 
der Sicherheitsanalysator mit. einer sicherheitsbezogenen 
Einrichtung (ii) des Automatisierungssystem zur 
Erfassung von sicherheitsbezogenen Daten verbunden ist. 

Automatisierungssystem (1) nach einem der Anspniche 1 
bis 6 5-, dadurch gekennzeichnet, daS 

das Bussystem (2) uber eine Anschaltbaugruppe (41) mit 
einem Host (40) verbunden ist, 

wobei die prozefibezogene Steuerung im Host und die 
sicherheitsbezogene Steuerung in der Anschaltbaugruppe 
angeordnet ist. 

GEANOEHTESBLATT 
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8. Automatisierungssystem (i) nach einem" der Anspruche 1 
^ bis 7 ^, dadurch gekennzeichnet, daS 

der Bus (2) ein serieUer Bus ist und zumindest ein 
Sicherheitsanalysator (5, 5') im Fembus-Abschnitt des 
Automatisierungssysteras angeordnet ist. 

9. Automatisierungssystem (i) nach Anspruch 8 ^, 
^ dadurch gekennzeichnet, dafi 

ein Sicherheitsanalysator (5) direkt nach dem Host (40) 
Oder der Anschaltbaugruppe (41) angeordnet ist. 



10 



Automatisierungssystem (1) nach einem der Anspnache 1 
bis 9 fi., dadurch gekennzeichnet, dafi 

ein Sicherheitsanalysator (5) in der Anschaltbaugruppe 
(41) angeordnet ist. 



11. Automatisierungssystem (1) nach einem der vorstehenden 

Anspruche 1 bis 10 dadurch gekennzeichnet, dafi der 

Sicherheitsanalysator (5, 5', 5") eine 

Speichereinrichtung zum Anlegen eines ProzeSabbildes 
umfafit . 



12. Automatisierungssystem (i) nach einem der vorstehenden 
25 ii-,. Anspruche 1 bis 11 

dadurch gekennzeichnet, dafi 

der Sicherheitsanalysator (5, 5', 5-) eine Einrichtung 
zum Manipulieren des auf dem Bus (2) flbertragenen 
Datonotroma^ inabcaondcre dci^ Eingangs- und/oder 
30 Ausgangsdaten aufweist. x 
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13. Automatisierungssystem (1) nach Anspruch 12 
iS-r dadurch gekennzeichnet , daS 

die Einrichtxing im Sicherheitsanalysator (5^ 5\ 5^») 
Eingangs- und/oder Ausgangsdaten uberschreibt iind/oder 
5 Daten in den Datenstrom einfugt. 

14. Automatisierungssystem (1) nach einem der vorstehenden 
Anspruche 1 bis 13 iS-, 

dadurch gekennzeichnet, daZ 

zumindest ein Sicherheitsanalysator (5, 5', 5»») 
redundant aufgebaut ist. 
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.15. Verfahren zum Betrieb eines ^ Automat isier\ingssystems, 
i4-T- insbesondere eines Automatisierungssystems (1) nach 
15 einem der Anspruche 1 bis 14 M-, 

dadurch gekennzeichnet, dafi durch 4are eine 
Standardsteuerungseinrichtung (4/ 40, 41), die eiae 
ProzeSsteuer\ing mit der Verarbeitung von 
prozeSgebundenen E/A-Daten und eine 

sicherheitsbezogene Steuerung mit der Verarbeitung von 
sicherheitsbezogenen Daten durchgefuhrt wird und 
weiterhin eine Verarbeitung sicherheitsbezogener Daten 
auf zumindest einem Sicherheitsanalysator (5, 5\ 5**) 
durchgefuhrt wird, wobei im Sicherheitsanalysator 
25 sicherheitsbezogene Daten, insbesondere 

sicherheitsbezogene Verknupfungsdaten im Busdatenstrom 
verarbeitet werden. 
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16. Verfahren nach Anspruch 15, 
dadurch gekexmzeichnet, daS 

die Standardsteuerungseinrichtung zumindest einen 
sicherheitsbezogenen Ausgaag steuert. 
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17 • Verfahren nach Anspruch 15 •i4- oder 16, 
-iS-r dadurch gekennzeichnet , daS 

in einem Sicherheitsanalysator (5, 5*, 5**) ein 
Vergleich der uber den Bus ubertragenen 
sicherheitsbezogenen Verknupfungsdaten der 
Standardsteuerungseinrichtung (4, 41) imd/oder zumindest 
eines weiteren Sicherheitsanalysators (5, 5\ 5**) -mit 
den entsprechenden Verknupfungsdaten des ersten 
Sicherheitsanalysators durchgefuhrt wird. 

18 . Verfahren nach einem der Anspruche 15 4r4- bis odor 17 
i6-r dadurch gekennzeichnet , dafi 

die durch die Standardsteuerung (4, 41) erzeugten und 
als Ausgangsdaten uber den Bus gesendeten 
Verknupfungsdaten in zumindest einem 

Sicherheitsanalysator (5, 5*, durch Nachbilden der 

sicherheitsbezogenen Verknupfungen der 
Standardsteuerung (4, 41) uberpruft werden. 

19 . Verfahren nach einem der Anspruche 15 i4- bis 18 -3-6-, 
*?-r dadurch gekennzeichnet, dalS 

im Ansprechen auf die Uberprufung oder den Vergleich 
durch den Sicherheitsanalysator (5 , 5 * , 5' 
sicherheitsbezogene Funktionen ausgefuhrt werden. 

20. Verfahren nach einem der Anspruche 15 bis 19, 
dadurch gekennzeichnet, da& 

das Ausfiihren einer sicherheitsbezogenen Funktionen 
liber einen sicherheitsbezogenen Ausgang (6) des 
Sicherheitsanalysators (5, S\ 5*M erfolgt. 
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21. Verfahren nach einem der Anspruche 15 i4 bis 20 i^, 

W-r dadurch gekennzeichnet , dafi 

im Ansprechen auf die uber den sicherheitsbezogenen 
Eingang (10) des Sicherheitsanalysators (5M erfafiten 
sicherheitsbezogenen Daten der Sicherheitsanalysator 
sicherheitsbezogene Funktionen ausfuhrt. 



22. Verfahren nach Anspruch 21 

i9-r dadurch gekennzeichnet, daS 

das Ausfuhren einer sicherheitsbezogenen Funktion das 
Ein- Oder Ausschalten zumindest einer Baugruppe des 
Automatisierungsbussystems, insbesondere eines 
Busteilnehmers (32-38) umfafit. 



23. Verfahren nach einem der Anspruche 15 i4- bis 22 i^, 
dadurch gekennzeichnet , dafi 

der Sicherheitsanalysator (5\ 5'') mittels einer 
Einrichtung zum Manipulieren des Datenstroms auf dem Bus. 
(2) zumindest ein Datum des Datenstroms uberschreibt , 
lascht und/oder zumindest ein Datum in den Bus- 
Datenstrom einfugt. 

24. Verfahren nach der Anspruch 23 
dadurch gekennzeichnet , dafi 

der Sicherheitsanalysator (5, S\ 5^M den abgehorten 
Datenstrom zumindest teilweise ab'speichert und 
Eingangsdaten des Bus -Datenstroms in Ausgangsdaten des 
Bus -Datenstroms, und umgekehrt, umkopiert. 
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25. Verfahren nach einem der Ansprxiche 15 i4- bis 24 Si, 

Sa-r dadurch gekennzeichnet, daB 

sicherheitsbezogenen Daten in einem 
Sicherheitsprotokoll uber den Bus (2) Cibertragen 
werden . 



26 . Verfahren nach Anspruch 25 5*, 

S3-, dadurch gekennzeichnet, daS 

das Sicherheitsprotokoll zusatzlich zum Sicherheitsdatum 
das negierte Sicherheitsdatum, eine laufende Nummer, 
eine Adresse und/oder eine Datensicherungsinformation 
(CRC) umfafit. 



27. Verfahren nach einem der Anspruche 15 44- bis 26 99-, 
dadurch gekennzeichnet, daS 

der Bus ein nach dem Master-Slave-Prinzip arbeitendes 
System ist, wobei Daten zwischen zumindest zwei Slaves, 
insbesondere zwischen einzelnen Busteilnehmem (31-38), 
mittels einer Daten-Verbindung uber wenigstens einen 
Sicherheitsanalyaator (5, 5«, 5") ubertragen werden, 
.wobei der Sicherheitsanalysator Daten im Busdatenstrom 
umkopiert . 

28 . Verfahren nach einem der Ansprache 15 44- bis 27 *3-, 
*5-r dadurch gekennzeichnet, daS 

der Bus ein nach dem Master-Slave-Prinzip arbeitendes 
System ist, wobei Daten zwischen zumindest zwei Slaves, 
insbesondere zwischen einzelnen Busteilnehmem (31-38), 
mittels einer Daten-Verbindung uber die Steuerung oder 
den Master ubertragen werden, wobei die Steuerung bzw. 
der Master Daten im Busdatenstrom umkopiert. 
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29. Verfahren nach einem der Anspruche 15 44- bis 28 96-, 
9€-r dadurch gekennzeichnet , dafi 

mittels eines Sicherheitsanalysators (5, 5', 5**) 
Qualitatsdaten erzeugt und/oder eine Aufbereitung der 
gelesenen Daten zur weiteren Verarbeitiing durchgefuhrt 
werden. 

30. Verfahren nach einem der Anspruche 15 i4- bis 29 S^, 
dadurch gekennzeichnet, daiS 

die in einem Sicherheitsanalysator (5') ablaufenden 
sicherheitsbezogenen VerknQpfungen zumindest teilweise 
redundant in wenigstens einem weiteren 

Sicherheitsanalysator (5^M durchgefuhrt und durch beide 
Sicherheitsanalysatoren zumindest teilweise die 
gleichen Sicherheitsfunktionen ausgefuhrt werden. 

31. Verfahren nach einem der Anspniche 15 44- bis 30 9^, 
^&-r dadurch gekennzeichnet , daE 

ein Sicherheitsanalysator zumindest teilweise auch eine 
ProzeSdatenverarbeitung durchf uhrt . 
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Claims 



1. 

5 
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2. 
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An automation system (1), at least comprising 

- a bus system (2), 

- I/O bus subscribers (31 - 38) connected to it and 

a standard control device (4; 40, 41), as well as at least 

- one safety analyzer (5, 5', 5'') 

which monitors the data flow via the bus system and 
is designed to carry out at least one safety-related 
function, 

characterized in that 

the standard control device controls at least one 
safety-related output, and in that the safety analyzer is 
set up for checking and/or processing safety-related data in 
the bus datastream. 

The automation system (1) as claimed in claim 1, 
characterized in that 

the safety analyzer (5, 5', 5'') has a freely 
programmable logic device, which processes the monitored 
data, in particular the monitored safety-related data. 

The automation system (1) as claimed in claim 1 or 

2, 

characterized in that 

the safety analyzer (5, 5', 5'^) is not a logic bus 
subscriber in the automation system (1) and has at least one 
safety-related output (6) via which at least one assembly, 
which is associated with the safety analyzer, of the 
automation System, in particular at least one bus subscriber 
(31 - 38), can be switched on or off. 
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The automation system (1) as claimed in claim 3, 
characterized in that 

the safety analyzer (5, 5', 5'') is set up for 
switching off a safety island, a bus spur (8) and/or the 
entire system. 

The automation system as claimed in one of claims 1 

to 4, 

characterized in that 

the safety analyzer (5') has at least one safety- 
related input (10), via which the safety analyzer is 
connected to a safety- related device (11) in the automation 
system for detecting safety-related data. 

The automation system (1) as claimed in one of 
claims 1 to 5, 

characterized in that 

the bus system (2) is connected via an interface 
assembly (41) to a host (40), with the process-related 
control being arranged in the host, and the safety-related 
control being arranged in the interface assembly. 

The automation system (1) as claimed in one of 
claims 1 to 6, 

characterized in that 

the bus (2) is a serial bus, and at least one 
safety analyzer (5, 5') is arranged in the long-distance bus 
section of the automation system. 

The automation system (1) as claimed in claim 7, 
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characterized in that 

a safety analyzer (5) is arranged directly after 
the host (40) or after the interface assembly (41) . 

The automation system (1) as claimed in one of 
claims 1 to 8, 

characterized in that 

a safety analyzer (5) is arranged in the interface 
assembly (41) • 

The automation system (1) as claimed in one of the 
preceding claims 1 to 9, 

characterized in that 

the safety analyzer (5, 5', 5'') comprises a memory 
device for storing a process map. 

The automation system (1) as claimed in one of the 
preceding claims 1 to 10, 
characterized in that 

the safety analyzer (5, 5', 5'") has a device for 
manipulating the datastream transmitted an the bus (2), 
particular the input and/or output data. 

The automation system (1) as claimed in claim 11, 
characterized in that 

the device overwrites input and/or output data, 
and/or inserts data into the datastream. 

The automation system (1) as claimed in one of the 
preceding claims 1 to 12, 
characterized in that 
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at least one safety analyzer (5, 5\ 5'') is of 
redundant design. 

A method for operating an automation system, in 
particular an automation system (1) as claimed in one of 
claims 1 to 13, 

characterized in that 

the standard control device (4; 40, 41) carries out 
the process control with the processing of process-linked 
I/O data and safety-related control with the processing of 
safety-related data, and, furthermore, processing of safety- 
related data is carried out* in at least one safety analyzer 
(5, 5', 5''), with safety-related data, in particular 
safety-related logic linking data in the bus datastream, 
being processed in the safety analyzer. 

The method as claimed in claim 14, 
characterized in that 

a comparison of the safety-related logic linking 
data, which is transmitted via the bus, for the standard 
control device (4, 41) and/or of at least one further safety 
analyzer (5, 5', 5'') with the corresponding logic linking 
data of the first safety analyzer, is carried out in a 
safety analyzer (5, 5', 5''). 

The method as claimed in one of claims 14 or 15, 
characterized in that 

the logic linking data, which is produced by the 
standard control (4, 41) and is sent as output data via the 
bus, is checked in at least one safety analyzer (5, 5', 5'') 
by modeling the saf etyrelated logic links of the standard 



control (4, 41) . 



The method as claimed in one of claims 14 or 16, 
characterized in that 

safety-related functions are carried out in 
response to the check or the comparison by the safety 
analyzer (5, 5', 5 

The method as claimed in one of claims 14 to 17, 
characterized in that 

the safety analyzer carries out safety-related 
functions in response to the safety-related data detected 
via the safety-related input (10) of the safety analyzer 
(5'). 

The method as claimed in claim 18, 

characterized in that 

the process of carrying out the safety-related 
function comprises switching at least one assembly in the 
automation bus system, in particular a bus subscriber (32 - 
38) , on or off. 

The method as claimed in one of claims 14 to 19, 
characterized in that 

the safety analyzer (5', 5'') overwrites or deletes 
at least one data item in the datastream and/or inserts at 
least one data item into the bus datastream by means of a 
device for manipulating the datastream an the bus (2) . 

The method as claimed in claim 20, 
characterized in that 
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the safety analyzer (5, 5', 5'') at least partially 
stores the monitored datastream and copies input data in the 
bus datastreams to output data in the bus datastream, and 
vice versa. 

The method as claimed in one of claims 14 to 21, 
characterized in that 

safety-related data is transmitted via the bus (2) 
using a security protocol. 

The method as claimed in claim 22, 
characterized in that, 

in addition to the safety data item, the security 
protocol comprises the negated safety data item, a 
sequential number, an address and/or a data protection 
information (CRC) . 

The method as claimed in one of claims 14 to 23, 
characterized in that 

the bus is a system operating an the master-slave 
principle, with data being transmitted between at least two 
slaves, in particular between individual bus subscribers (31 
- 38), by means of a data link via at least one safety 
analyzer (5, 5, 5''), 'with the safety analyzer copying data 
in the bus datastream. 

The method as claimed in one of claims 14 to 23, 
characterized in that 

the bus is a system operating an the master-slave 
principle, with data being transmitted between at least two 
slaves, in particular between individual bus subscribers (31 
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- 38), by means of a data link via the control or the 
master, with the control or the master copying data in the 
bus datastream. 

The method as claimed in one of claims 14 to 25, 
characterized in that 

quality data is produced by means of a safety 
analyzer (5, 5', 5''), and/or the data which has been read 
is prepared for further processing. 

The method as claimed in one of Cclaims 14 to 26, 
characterized in that 

the safety . related logic links used in a safety 
analyzer (5') are at least partially carried out in 
redundant form in at least one further safety analyzer 
(5''), and the same safety functions are at least partially 
carried out by the two safety analyzers. 

The method as claimed in one of claims 14 to 27, 
characterized in that 

a safety analyzer also at least partially carries 
out process data processing. 
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Abstract 

The invention relates to a safety-related automation system, 
and to a method for operating such a system. 

In order to provide a saf ety~related automation bus system 
which needs only a low level of hardware redundancy and can be 
flexibly matched to the respective requirements, the automation 
system comprises at least one safety analyzer, which is connected 
by means of an interface to the bus and monitors the data flow 
via the bus, the analyzer being set up for carrying out safety- 
related functions. The automation system is distinguished in that 
the standard control device drives at least one safety-related 
output, and the safety analyzer is designed for checking and/or 
for processing safety-related data in the bus datastream. 
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Non-establishment of opinion with regard to novelty, inventive step and industrial applicability 

Lack of unity of invention 

Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 

Certain documents cited 
Certain defects in the international application 
Certain observations on the international application 



I 


12SI 


II 


□ 


in 


□ 


IV 


□ 


y 




VI 


□ 


VII 


lEI 


VIII 


1^ 



Date of submission of the demand 

09 January 200 1 (09.0 1 .0 1 ) 


Date of completion of this report 

07 September 2001 (07.09.2001) 


Name and mailing address of the IPEA/EP 

Facsimile No. 


Authorized officer 
Telephone No. 



Form PCT/IPEA/409 (cover sheet) (July 1998) 



International application No. 

INTERNATIONAL PRELIMINARY EXAMINATION REPORT PCT/DEOO/0 1 90 1 



I. Basis of the report 



1. With regard to the elements of the international application:* 
I [ the international application as originally filed 

the description: 

pages 1-23 , as originally filed 

pages » filed with the demand 

pages , filed with the letter of 

the claims: 

pages , as originally filed 

pages , as amended (together with any statement under Article 19 

pages y filed with the demand 

pages 1^31 , filed with the letter of 17 August 2001 (17.08>2001) 

the drawings: 

pages 1/5-5/5 , as originally filed 

pages , filed with the demand 

pages , filed with the letter of 

I I the sequence listing part of the description: 

pages , as originally filed 

pages , filed with the demand 

pages , filed with the letter of 

2. With regard to the language, all the elements marked above were available or furnished to this Authority in the language in which 
the international application was filed, unless otherwise indicated under this item. 

These elements were available or furnished to this Authority in the following language which is: 

I I the language of a translation furnished for the purposes of international search (under Rule 23. 1 (b)). 
I I the language of publication of the international application (under Rule 48.3(b)). 

I I the language of the translation furnished for the purposes of international preliminary examination (under Rule 55.2 and/ 
or 55.3). 

3. With regard to any nucleotide and/or amino acid sequence disclosed in the international application, the international 
preliminary examination was carried out on the basis of the sequence listing: 

I I contained in the international application in written form. 

I I filed together with the international application in computer readable form. 

I I furnished subsequently to this Authority in written form. 

I I furnished subsequently to this Authority in computer readable form. 

I I The statement that the subsequently furnished written sequence listing does not go beyond the disclosure in the 
international application as filed has been furnished. 

I I The statement that the information recorded in computer readable form is identical to the written sequence listing has 
been furnished. 

4. I I The amendments have resulted in the cancellation of: 

I I the description, pages 

I I the claims, Nos. 



I I the drawings, sheets/fig . 



I I This report has been established as if (some of) the amendments had not been made, since they have been considered to go 
I — I beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)). 

♦ Replacement sheets which have been Jurnished to the receiving Office in response to an invitation under Article 14 are referred to 
in this report as "originally filed" and are not annexed to this report since . they do not contain amendments (Rule 70,16 

and 70.17). 

** Any replacement sheet containing such amendments must be referred to under item 1 and annexed to this report. 
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V. Reasoned statement under Article 35(2) with regard to novelty, Inventive step or industrial applicability; 
citations and explanations supporting such statement 



1 . Statement 

Novelty (N) 

Inventive step (IS) 
Industrial applicability (lA) 



Claims 
Claims 

Claims 
Claims 

Claims 
Claims 



1-14, 16-31 



15 



1-14, 23 



16-22, 24-31 



1-31 



YES 
NO 
YES 
NO 

YES 
NO 



Citations and explanations 

The following documents were interpreted as the relevant prior art for this 
examination: 



Dl: DE-A-198 15 150 (LEUZE ELECTRONIC GMBH & CO) 22 October 1998 
(1998-10-22) 

D2: EP-A-0 770 942 (ELAN SCHALTELEMENTE GMBH) 2 May 1997 (1997-05- 
02) 

D3: MOHLENBEIN H: "INTERBUS-DEZENTRALE ECHTZEIT-PERIPHERIE 
FUER STAND ARD-SPS-SYSTEME" ELEKTRIE,CC,VEB VERLAG 
TECHNIK. BERLIN, Vol. 44, No. 7, 1990, pages 244-249, XP000162759 ISSN: 
0013-5399 

D4: US-A-4 680 753 (FULTON TEMPLE L ET AL) 14 July 1987 (1987-07-14) 
D5: EP-A-0 837 394 (ELAN SCHALTELEMENTE .GMBH) 22 April 1998 
(1998-04-22) 

D6: DE-A-195 10 470 (KLASCHKA IND ELETRONIK) 17 October 1996 
(1996-10-17) 

D7: EP-A-O 600 31 1 (SQUARE D DEUTSCHLAND) 8 June 1994 (1994-06-08) 



1 .. Document Dl shows in Figure 1 an automation system including at least: 
. - a bus system (1) having attached to it 

- I/O bus users (7) and a standard control apparatus (3), as well £is at least 

- one safety analyzer (8), which monitors the data flow over the bus system and 

is configured to carry out at least one safety-related function, the standard control 
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International application No. 
PCT/DE 00/01901 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



apparatus controlling at least one safety-related output and the safety analyzer 
being arranged to examine and/or process safety-related data in the bus data 
stream (column 1, lines 34-64; column 2, lines 8-37; column 3, lines 14-34). 

The safety analyzer comprises a programmable logic device that processes the 
monitored data, in particular the monitored safety-related data (colunm 3, lines 19 



The safety analyzer (8) is not a logical automation system bus user and has at least 
one safety-related output through which at least one structural component of the 
automation system assigned to the safety analyzer, particularly at least one bus user, 
can be switched on or off (column 3, lines 26-34). 

However, this document does not indicate that the safety analyzer has a device for 
manipulating the data flow that is transmitted to the bus. 

D2 discloses an automation system, but it is provided with two independent bus 
systems. 

D3 describes a local I/O bus system (INTERBUS), but no safety analyzer as 
defined in Claim 1 can be found in this document, . 

D4 describes an automation system comprising a bus system having attached to it 
I/O bus users and (selected from these) a safety analyzer (SAM), which creates a 
"user list" of active users. The safety analyzer does not have a device for 
manipulating the data flow that is transmitted to the bus, though. 

DS shows a method for operating an automated system in which, using a standard 
control apparatus, a process control is carried out with the processing of process- 
boimd I/O data and a safety-related control is carried out with the processing of 
safety-related data, and furthermore the processing of safety-related data is carried 
out on at least one safety analyzer, safety-related data being processed in the safety 
emalyzer (colunm 6, line 48 to column 9, line 45). 



22). 
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For this reason, the subject matter of independent Claim 15 is not novel (PCT 
Article 33(2)). 

However, the safety analyzer from D5 does not have a device for manipulating the 
data flow that is transmitted via the bus. 

D6 and D7 show further monitoring devices, but they do not have the features of 
device Claim 1 . 

For the stated reasons, the subject matter of Claim 1 is novel (PCT Article 33(2)) 
with respect to the prior art shown in documents D1-D7, 

Since each of the cited documents has a different concept of safety-related control, 
it is not considered obvious for a person skilled in the art to combine the individual 
features of the various systems in the docimients. 

Thus the features of Claim 1, in particular the fact that the safety analyzer 
comprises a device for manipulating the data flow that is transmitted to the bus, are 
not indicated to a person skilled in the art in an obvious way in documents D1-D7. 

Accordingly, the subject matter of Claims 1-14 involves an inventive step (PCT 
Article 33(3)). 

The features of Claims 16-22 and 24-31, if they are not already known from the 
prior art in D2-D7, represent nothing more than obvious embodiments of the 
method for operating an automated system according to Claim IS to solve the 
problem of interest. 

Thus the subject matter of Claims 16-22 and 24-31 does not involve the requisite 
inventive step (PCT Article 33(3)). 

The feature of Claim 23, namely that the safety analyzer comprises a device for 
manipulating the data flow that is transmitted via the bus, is, as indicated earlier, 
neither known from nor suggested by any of documents D1-D7. 
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The subject matter of Claim 23 thus meets the requirements of PCT Article 33(2) 
and (3). 
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VII. Certain defects in the international application 



The following defects in the form or contents of the international application have been noted: 

Independent Claim 15 has not been drafted in the proper two-part form pursuant to 
PCT Rule 6.3(b). 

The introductory part of the description has not been adapted to the relevant prior art 
disclosed in documents D1-D7. 

Contrary to PCT Rule 5.1(a)(ii), the description does not cite the relevant prior art. 
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VIII. Certain observations on the international application 



The following observations on the clarity of the claims, description, and drawings or on the question whether the claims are fully 
supported by the description, are made: 



Since independent Claim 15 is not novel (see Box V), the different definitions in the 
other device claims and in independent Claim 14 cause a lack of clarity to arise 
regarding the subject matter for which protection is sought (PCT Article 6). 

In light of the merely optional reference ("in particular") to the subject matter of 
Claims 1-14 in method Claim 15, it also appears as though there is no technical 
relationship among one or more of the same or corresponding special technical features 
within the meaning of PCT Rule 13.2 between device Claims 1-14 and method Claim 
1 5, in which the function of a device in the safety analyzer for manipulating the data 
flow that is transmitted on the bus is not defined as a process step. 
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VERTRAG^PeR die INTERNATIONALE ZUS^ki/l EN ARBEIT 
mDF DEM GEBIET DES PATENTWWENS 

PCT 

INTERNATIONALER RECHERCHENBERICHT 

(Artikel 18 sowie Regein 43 und 44 PCT) 



Aktenzeichen des Anmelders Oder Anwalts 
99PH 1131 DEP 


WEITERES siehe Mitteiiung uber die Obermittlung des intemationalen 

Recherchenberichts (Formblatl PCT/ISA/220) sowie. soweit 
VORGEHEN zutreffend, nachstehender Punkt 5 


Internationales Aktenzeichen 
PCT/DE 00/01901 


Internationales Anmeldedatum 
(Tag/Monat/Jahr) 

16/06/2000 


(Fruhestes) Prioritatsdatum (Tag/Monat/Jahr) 

17/06/1999 


Anmelder 

PHOENIX CONTACT GMBH & CO. et al . 



Dieser Internationale Recherchenbericht wurde von der Intemationalen Recherchenbehdrde erstellt und wird dem Anmelder gemdB 
Artikel 18 ubermittelt. Eine Kopie wird dem Intemationalen BQro ubermittelt. 

Dieser internationale Recherchenbericht umfaBt insgesamt _3 Blatter. 

[X| Daruber hinaus liegt ihm Jewells eine Kopie der in diesem Bericht genannten Unterlagen zum Stand der Technik bei. 



1 . Grundlage des Berichts 

a. Hinsichtllch der Sprache ist die intemationale Recherche auf der Grundlage der intemationalen Anmeldung in der Sprache 
durchgefuhrt worden, in der sie eingereicht wurde, sofern unter diesem Punkt nichts anderes angegeben ist. 

I I Die intemationale Recherche ist auf der Grundlage einer bei der BehSrde eingereichten Ubersetzung der intemationalen 
Anmeldung (Regel 23.1 b)) durchgefuhrt worden. 

b. Hinsichtlich der in der Intemationalen Anmeldung offenbarten Nucleotide und/oder Aminosauresequenz ist die internationale 
Recherche auf der Grundlage des Sequenzprotokolls durchgefuhrt worden, das 

I I in der intemationalen Anmeldung in Schriflicher Form enthalten ist. 

zusammen mit der intemationalen Anmeldung in computerlesbarer Fonn eingereicht worden ist. 
bei der BehOrde nachtrdglich in schriftiicher Form eingereicht worden ist. 
bei der Behdrde nachtraglich in computerlesbarer Form eingereicht worden Ist. 

Die ErklSrung, dafB das nachtrSglich eingereichte schriftliche Sequenzprotokoll nicht uber den Offenbarungsgehalt der 
intemationalen Anmeldung im Anmeldezeitpunkt hinausgeht, wurde vorgelegt. 

Die ErklSrung, da3 die in computerlesbarer Form erfafSten Informationen dem schriftlichen Sequenzprotokoll entsprechen, 
wurde vorgelegt. 

Bestimmte Anspruche haben sich als nicht recherchierbar erwiesen (siehe Feld I). 
Mangelnde Einheitlichkeit der Erfindung (siehe Feld II). 



2. 
3. 



□ 
□ 
□ 
□ 

□ 

□ 
□ 



4. Hinsichtlich der Bezelchnung der Erfindung 

PC] wird der vom Anmelder eingereichte Wortlaut genehmigt. 
I I wurde der Wortlaut von der Behdrde wie folgt festgesetzt: 



Hinsichtlich der Zusammenfassung 

nri wird der vom Anmelder eingereichte Wortlaut genehmigt. 

wurde der Wortlaut nach Regel 38.2b) in der in Feld 111 angegebenen Fassung von der BehOrde festgesetzt. Der 
I I Anmelder kann der Behdrde innerhalb eines Monats nach dem Datum der Absendung dieses intemationalen 

Recherchenberichts eine Stellungnahme vorlegen. 

Folgende Abbildung der Zeichnungen ist mit der Zusammenfassung zu verdffentlichen: Abb. Nr. 



I I wie vom Anmelder vorgeschlagen keine der Abb. 

Pn well der Anmelder selbst keine Abbildung vorgeschlagen hat. 
I I well diese Abbildung die Erfindung besser kennzeichnet. 
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INTERNATIONALE 



CHERCHENBERICHT 



ionales Aktenzeichen 

DE 00/01901 



A. KLASSinZIERUNG DES ANMELDUNGSGEGENSTANDES 

IPK 7 605819/042 



Nacti der Intemalionalen Palentklassifikation (IPK) Oder nach der nattonalen Klassifikation und der IPK 



B. RECHERCHIERTE GEBIETE 



Recherchierter Mindestprufstoff (KlassiTikatlonssystem und Klassifikalionssymbole ) 

IPK 7 G05B 



Recherctilerte aber nicnt zum Mindestprufstoff gehdrende Verdffentlictiungen, soweit diese unter die recherchlerlen Gebiete faUen 



Wahrend der intemalionalen Recherche konsuttierte elektronlsche Datenbank (Name der Datenbank und evil, veiwendete Suchbegriffe) 

WPI Data, EPO-Internal 



C. ALS WESENTLICH ANGESEHENE UNTERLAGEN 



Kategorie** 



Bezeichnung der Verdffentlichung. soweit erforderlicti unter Angabe der in Betracht kommenden Telle 



Betr Anspruch Nr. 



DE 198 15 150 A (LEUZE ELECTRONIC GMBH & 
CO) 22. Oktober 1998 (1998-10-22) 
das ganze Dokument 



EP 0 770 942 A (ELAN SCHALTELEMENTE GMBH) 
2. Mai 1997 (1997-05-02) 
Zusammenfassung 

Spalte 6, Zeile 7 -Spalte 8, Zeile 30 
Anspruch 6 
Abb11dung 1 



-/-- 



1.5,11, 
13 

2-4, 

6-10,12, 
14-20, 
24,25, 
27,28 

1 



3,4 



Weitere Verdffentltehungen sind der Fortsetzung von Feld C zu 
entnehnnen 



ID 



Siehe Anhang Patentfamilie 



* Besondere Kategorien von angegebenen Verdffentlichungen 
'A' Verdffentlichung. die den allgemeinen Stand der Technik definiert, 
aber nicht als besonders bedeutsam anzusehen ist 

'E* alteres Dokument, das jedoch erst am Oder nach dem intematk>nalen 
Anmeldedatum veroffentlicht worden ist 

'L* Veroffentlichung, die geeignet ist, einen PrioritStsanspruch zweifeihaft er- 
scheinen zu lassen. Oder durch die das Verdffentlichungsdatum einer 
anderen tm Recherchenbericht genannten Verdffentlk^hung belegt werden 
soli Oder die aus einem anderen besonderen Grund angegeben ist (wie 
ausgefuhrt) 

'O* Ver5ffentik;hung, die sich auf eine mundliche Offenbarung, 

eine Benutzung. eine Ausstellung oder andere MaBnahmen bezieht 

'P* Verdffentlichung, die vor dem intemationalen Anmeldedatum. aber nach 
dem beanspruchten Prioritatsdatum veroffentlicht worden ist 



'T* Spatere Verdffentlichung, die nach dem intemationalen AnmeMedalum 
Oder dem Prioritatsdatum veroffentlicht worden ist und mit der 
Anmeldung nicht kollidiert. sondem nur zum Verstandnis des der 
Erfindung zugrundeliegenden Prinzips Oder der ihr zugrundeliegenden 
Theorle angegeben ist 

'X' Verdffentlichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann allein aufgrund dieser Verdffentlk^hung nicht als neu oder auf 
erfinderischer Tatlgkett beruhend betrachtet werden 

■V Veroffentlichung von besonderer Bedeutung: die beanspruchte Erfindung 
kann nk^ht als auf erfinderischer Tatigkett beruhend betrachtet 
werden, wenn die Verdffentlichung mit einer oder mehreren anderen 
Ver5ffentlk:hungen dieser Kalegorie in Verbindung gebracht wird und 
diese Verbindung fur einen Facnmann naheliegend ist 
Verdffentlichung, die Mitglied derselben Patentfamilie ist 



Datum des Abschlusses der intemationalen Recherche 



13. Dezember 2000 



Absendedatum des intematbnalen Recherchenberichts 



20/12/2000 



Name und Postanschrift der lntematk)nalen Recherchent^ehdrde 
Europaisches Patentamt, P.B. 5818 Patentlaan 2 
NL - 2280 HV Rijswijk 
Tel. (+31-70) 340-2040, Tx. 31 651 epo nl. 
Fax: (+31-70) 340-3016 



Bevollmachtigter Bediensteter 



Hurtado-Alb1r, J 
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MOHLENBEIN H: "INTERBUS-DEZENTRALE 
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STANDARD-SPS-SYSTEME" 






ELEKTRIE,00,VEB VERLA6 TECHNIK. BERLIN, 






Bd. 44, Nr. 7, 1990, Selten 244-249, 






XP000162759 






ISSN- 0013-5399 






das nan7P Dokum^nli 




A 


1,14, 






20-23 


Y 


US 4 680 753 A (FULTON TEMPLE L ET AL) 


12, 




14. Juli 1987 (1987-07-14) 


14-20, 






24,25. 






27,28 




Zusammenf assung 




X 


EP 0 837 394 A (ELAN SCHALTELEMENTE GMBH) 


1 




22 Aoril 1998 (1998-04-22) 






Zusammenf assung 






Spalte 6, Zeile 43 -Spalte 11, Zeile 56 






Abblldungen 




A 




2 , 5-28 


A 


DE 195 10 470 A (KLASCHKA IND ELEKTRONIK) 


1-28 




17. Oktober 1996 (1996-10-17) 






Zusammenfassung 






Spalte 2, Zeile 24 -Spalte 3, Zeile 15 




A 


EP 0 600 311 A (SQUARE D DEUTSCHLAND) 


1-28 




8. Juni 1994 (1994-06-08) 






das ganze Dokument 
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